これからのCPUの進化はセキュリティを重んじるべきです。 - 1477578989

5：管理者ＨＫ　Age４３　苗字は特殊で平が入る。こうじ。：2016/10/27(木) 23:49:30: （別HPからの記録保存161027）４

〇　デフォルトでは、HDDをトラックセクタ単位で読み込むAPIを提供しない。すべてファイルシステム上のAPIで提供する。これでセクタ０の書き込みを物理的に禁止する。システムフォルダーへの書き込みを物理的に禁止する。BIOSのマッピングを停止する。（追加。）BIOSはOSが専用の論理メモリ空間を作成し、そこにコピーする。ノートPCなど固有の機能（ファンクションキーなど）などはそこにマッピングする。BIOSの設計段階から、固有機能のみ分離するように規格する。OS起動時は、それ以外のBIOSファンクションは禁止する。
システム領域の純正OSの実行可能ファイルやDLLのファイルにサードパーティーのものを混ぜない。その中に検索用のフォルダを別個設定し、その中にサードパーティーなどのDLLが存在するフォルダーへの検索用ショートカットを集める。基本的にOS以外のいかなるプログラムもシステム領域には書き込み、追加、上書きなどできない。
サードパーティフォルダー内の検索用ショートカットは、そのフォルダー位置情報が組み込まれており、これを改変できるのはそのフォルダーにあるそれぞれのソフトウエアだけ。これらのフォルダーには特殊なフォルダであるというIDが入り、このフォルダーが移動されるときは逆リンクでサードパーティフォルダ内の検索用ショートカットも自動的に再設定される。これらのフォルダはその中にあるソフトウエアか「ハード認証」のユーザー操作以外では移動消去などできない。
OSが管理するHDD内システム領域は、リング３のプログラムからは直接的にはアクセスできない。他にリング１とリング２用のシステム領域は分離して管理する。リング１とリング２のデバイスドライバの各物理メモリは分離する。同じ特権命令レベル間でも、担当以外のIOポート、IRQはコードレベルで分離する。関係のないIOポートをアクセスするIN,OUT命令を禁止。
OSのクリティカルな実行可能ファイルやDLLはバージョンと書き込み時間、インストール時のハッシュを厳格に管理する。フォルダやファイルの作成時の時間などはシステム領域のデーターベースで厳格に管理し改変不可能。可能な限り一度は起動時や実行時前にハッシュをチェックする。（20161010）
HDD内の読み書きについて。「クラスタ・トラック・セクタ」指定で読み書きできるのはHALを通してのみにする。デフォルトの指定では、セクタ０の読み込みはできてもOSカーネル以外に書き込みはできないなどHALでチェックする。もちろん、OSの管理するシステム領域もオブジェクト指向のAPIからのみで、それ以外のアクセスを禁止する。
HALでチェックし、ファイルの書き込み日時と更新日時などは変更不可能にする。実行可能ファイル（exe,dllなど）はそれらの情報をシステム領域内のデータベースに記録する。どのフォルダにいつ、どこのプログラムによってインストールされたか。UUID、バージョン情報、ハッシュなども記録する。OS関連のファイルはロード時に一度ハッシュチェックをするくらいがベスト。
実行可能ファイルのハッシュについて。コンパイル時以外に内部の情報が書き換えられる部分は分離する。その部分はハッシュに入らないようにする仕組みが必要。特に、コード部分と処理に関わる固定データ部分が明確に分離検証できる構造にするべき。コンパイル時以外で内部が書き換わらない設計をコンパイラ側で管理するべき。それぞれに個体識別情報が入る部分についても同じく。（20161018）

http://nekoneko2121.wixsite.com/victim084/cont-temp-1