Драйвер режима ядра (kernel-mode driver) имеет максимальные права в системе — выше, чем у администратора. Он может читать и писать любую память, перехватывать любые системные вызовы и взаимодействовать с железом напрямую.
Эта мощь нужна для нашей задачи: подменить SMBIOS на лету, перехватить ATA IDENTIFY к диску, изменить ответ NVAPI о GPU. Из user-mode это сделать невозможно.
Риски тоже понятны: уязвимый драйвер становится дверью для руткита. Поэтому наш драйвер проходит ежемесячный аудит сторонней firm Trail of Bits, и мы публикуем отчёты.
Мы используем минимальный набор операций (Principle of Least Privilege), наш драйвер выгружается сразу после смены HWID и не остаётся в памяти. Это снижает атакующую поверхность до минимума.
Полные исходники драйвера доступны Pro-пользователям по запросу с подписанным NDA. Это редкое решение в индустрии — но мы верим в прозрачность.