Windows Vista系统下DeRootkit攻防

---

Vista探索者（www.vistause.net）整理自天极：Windows Vista系统下DeRootkit攻防

　　 Rootkit是什么?估计很多初级用户并不明白,简单De说,Rootkit是一种特殊De恶意软件,它De功能是在安装目标上隐藏自身及指定De文件、进程和网络链接等信息,Rootkit一般都和木马、后门等其他恶意程序结合使用.Rootkit通过加载特殊De驱动,修改系统内核,进而达到隐藏信息De目De.

　　Windows Vista自身对恶意软件De防护主要是通过驱动程序数字签名、用户访问控制(UAC)和WindowsDefender来实现De,前两者对Rootkit类恶意软件De防御尤为重要.因为RootkitDe隐藏功能实现需要加载驱动,我们就先说说VistaDe驱动程序加载管理：Vista驱动程序De安装加载管理和原有DeWindows版本相比有较大De改进,在MicrosoftDe设计中,Vista不允许加载没有经过数字签名De驱动程序,而在之前DeWindows2000、XP、2003系统上,系统虽然会在安装未签名或老版本驱动程序时会有提示,但安装好之后是能够加载De.

　　出于Microsoft意料之外De是,%26ldquo;有数字签名De驱动程序才能被Vista所加载%26rdquo;这个设定对Rootkit类De防护作用并不是很大.去年DeBlackhat会议上,曾有研究人员演示过在VistaX64Beta2版本上通过修改磁盘上页面文件来加载未经数字签名De驱动程序,虽然这个漏洞稍后被Microsoft补上,但已经说明通过技术手段来突破VistaDe驱动加载管理并非不可能.但要突破Vista驱动加载管理De更好途径是在数字签名本身上做功夫,之前曾有安全研究人员提到,Vista驱动程序De数字签名申请De审核并不严格,只需要有合法De申请实体,并交纳少许De申请费用即可.这样,通过注册或借用一个公司De名义,Rootkit作者完全可以从Microsoft拿到合法De驱动数字签名,也就是说,很有可能会出现拥有Microsoft数字签名De、%26ldquo;合法%26rdquo;DeRootkit程序.攻击者还可以使用特殊De加载程序来加载没经数字签名De程序,安全公司LinchpinLabs最近就发布了一个叫做AstivDe小工具,这个工具实现De原理就是使用经过数字签名De系统组件来加载未经数字签名De驱动程序,而且用这种方式加载De驱动程序并不会出现在正常驱动程序列表中,更增强了加载目标驱动程序De隐蔽.

　　用户访问控制(UAC)是Vista防御恶意软件De另外一个手段

　　在开启了UACDeVista系统上,用户De权限相当于被限制了De管理员权限,如果用户程序要对系统盘及注册表等地方进行修改De话,需要用户进行交互De二次确认.如果用户拒绝或者是目标程序比较特殊(比如木马、后门等)不出现UAC提示,因为对系统目录和注册表De访问被Vista所拒绝,除了极个别不写入系统目录De之外,大部分目标程序是无法安装成功De.Rootkit程序在UAC环境中同样会因为权限问题而无法安装成功,但很多情况下,攻击者会使用社会工程学De方法来诱骗用户信任攻击者所提供De程序,并在UAC提示时选择允许操作.

　　至此可以得出一个结论,由于WindowsVista从设计开始就很重视安全性,因此对它推出之前DeRootkit等恶意软件De防御水平到达了一个新De高度,攻击者单纯靠技术手段攻击De成功率已经比在原先DeWindows2000/XP/2003平台上大为下降.但我们也应该注意到,攻击者会更多De使用社会工程手段,伪造和利用各种信任关系,欺骗用户安装恶意软件.

　　如何在Vista下对Rootkit类恶意程序进行防护?用户可以参考以下几点：

　　1、保持VistaDe系统补丁版本为最新.

　　2、不在不可信De来源获取软件,并在安装使用时留意系统De各种提示,尤其是有关数字签名De提示.

　　3、注意UACDe提示信息,及时拦截试图修改系统De危险操作.

　　4、使用反病毒软件并保持病毒库版本为最新,为防护恶意软件多加一层保障.

　　5、定期使用支持VistaDe反Rootkit工具对系统进行扫描检查.

Vista探索者（www.vistause.net）,Windows Vista乐园,Vista新天地

上一篇： 赛门铁克评出2007年十大互联网安全事件  
下一篇： 【原创】合法使用Vista1年！！免激活！！