Vista系统中如何防范Rootkit恶意软件

Vista系统中如何防范Rootkit恶意软件

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

Windows Vista自身对恶意软件的防护主要是通过驱动程序数字签名、用户访问控制(UAC)和WindowsDefender来实现的，前两者对Rootkit类恶意软件的防御尤为重要。因为Rootkit的隐藏功能实现需要加载驱动，我们就先说说Vista的驱动程序加载管理：Vista驱动程序的安装加载管理和原有的Windows版本相比有较大的改进，在Microsoft的设计中，Vista不允许加载没有经过数字签名的驱动程序，而在之前的Windows2000、XP、2003系统上，系统虽然会在安装未签名或老版本驱动程序时会有提示，但安装好之后是能够加载的。

出于Microsoft意料之外的是，“有数字签名的驱动程序才能被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。去年的Blackhat会议上，曾有研究人员演示过在VistaX64Beta2版本上通过修改磁盘上页面文件来加载未经数字签名的驱动程序，虽然这个漏洞稍后被Microsoft补上，但已经说明通过技术手段来突破Vista的驱动加载管理并非不可能。但要突破Vista驱动加载管理的更好途径是在数字签名本身上做功夫，之前曾有安全研究人员提到，Vista驱动程序的数字签名申请的审核并不严格，只需要有合法的申请实体，并交纳少许的申请费用即可。这样，通过注册或借用一个公司的名义，Rootkit作者完全可以从Microsoft拿到合法的驱动数字签名，也就是说，很有可能会出现拥有Microsoft数字签名的、“合法”的Rootkit程序。攻击者还可以使用特殊的加载程序来加载没经数字签名的程序，安全公司LinchpinLabs最近就发布了一个叫做Astiv的小工具，这个工具实现的原理就是使用经过数字签名的系统组件来加载未经数字签名的驱动程序，而且用这种方式加载的驱动程序并不会出现在正常驱动程序列表中，更增强了加载目标驱动程序的隐蔽。