Vista系统下的恶意软件Rootkit攻防手册

Rootkit是一种特殊的恶意软件，其功能是在安装目标上隐藏自身和指定文件、进程、网络链接等信息。Rootkit一般与木马、后门等其他恶意程序结合使用。Rootkit可以通过加载特殊驱动和修改系统内核来隐藏信息。

Windows vista自身对恶意软件的防护主要是通过驱动程序的数字签名、用户访问控制(UAC)和WindowsDefender来实现的，其中前两者对于防御类似Rootkit的恶意软件尤为重要。因为Rootkit的隐藏功能是需要加载的，所以先说一下Vista的驱动加载管理:Vista的驱动加载管理相比原来的Windows版本有了很大的提升。在微软的设计中，Vista不允许加载未经数字签名的驱动程序。在之前的Windows2000、XP、2003系统上，虽然安装未签名或旧版本驱动时系统会提示，但安装后可以加载。

令微软惊讶的是，“带有数字签名的驱动程序只能由Vista加载”的设置对Rootkit类的保护作用并不大。在去年的Blackhat大会上，一位研究人员演示了如何在VistaX64Beta2版本中通过修改磁盘上的页面文件来加载没有数字签名的驱动程序。虽然这个漏洞后来被微软修复，但事实证明，通过技术手段突破Vista的驱动加载管理并非不可能。不过，突破Vista驱动加载管理更好的方法是在数字签名本身上下功夫。之前有安全研究人员提到，Vista驱动的数字签名应用的验证并不严格，只有合法的应用实体需要支付一点申请费。

这样，通过注册或借用公司名称，Rootkit作者可以从微软获得合法的驱动程序数字签名。也就是说，很有可能会出现一个带有微软数字签名的“合法”Rootkit程序。攻击者还可以使用特殊的加载程序来加载未经数字签名的程序。安全公司LinchpinLabs最近发布了一款名为Astiv的小工具。这个工具的原理是使用数字签名的系统组件来加载没有数字签名的驱动程序。而且这样加载的驱动不会出现在正常驱动的列表中，进一步增强了目标驱动的隐蔽性。

用户访问控制(UAC)是Vista抵御恶意软件的另一种手段。

在UAC打开的Vista系统上，用户的权限等同于受限管理员的权限。如果用户程序要修改系统盘和注册表，需要用户交互的第二次确认。如果用户拒绝或者目标程序比较特殊(如木马、后门等。)，UAC提示不会出现。由于对系统目录和注册表的访问被Vista拒绝，除了少数没有写入系统目录的程序外，大多数目标程序都无法成功安装。由于权限问题，Rootkit程序无法在UAC环境中成功安装。然而，在许多情况下，攻击者会使用社会工程方法来欺骗用户信任攻击者提供的程序，并在UAC的提示下选择允许操作。

至此，我们可以得出一个结论，由于WindowsVista从设计之初就非常重视安全性，所以在推出之前对Rootkit等恶意软件的防御水平达到了一个新的高度，攻击者单纯依靠技术手段攻击的成功率相比原来的Windows2000/XP/2003平台上已经大大降低。但也要注意，攻击者会更多地利用社会工程手段，伪造和利用各种信任关系，欺骗用户安装恶意软件。

如何在Vista中保护Rootkit恶意程序？用户可以参考以下几点:

1.保持Vista的系统补丁版本为最新。

2.不要从不可信的来源获取软件，安装使用时注意系统的各种提示，尤其是关于数字签名的提示。

3.关注UAC的提示信息，及时拦截试图修改系统的危险操作。

4.使用防病毒软件，保持病毒库版本最新，这样就多了一层抵御恶意软件的保护。

5.定期使用支持Vista的反Rootkit工具扫描检查系统。