Vista下的恶意软件Rootkit攻防手册pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范Vista下的恶意软件Rootkit攻防手册

Vista下的恶意软件Rootkit攻防手册


2009/2/10  编辑:佚名 来源:本站整理  关键词:

Vista下的恶意软件Rootkit攻防手册

 

Rootkit是一种特殊的恶意软件, 它的功能是就在安装目标上隐藏自身及指定的文件程序、进程和网络net链接等信息, Rootkit一般都和木马、后门等其他恶意程序结合使用。 Rootkit可以通过加载特殊的驱动, 修改系统system内核, 进而达到隐藏信息的目的。
  Windows Vista自身对恶意软件的防护主要是可以通过驱动程序数字签名、用户访问控制(UAC)和WindowsDefender来实现的, 前两者对Rootkit类恶意软件的防御尤为重要。 因为Rootkit的隐藏功能实现有请求需要加载驱动, 我们我自己就先说说Vista的驱动程序加载管理:Vista驱动程序的安装加载管理和原有的Windows版本相比有较大的改进, 就在Microsoft的设计design中, Vista不允许加载没有经过数字签名的驱动程序, 而就在之前的Windows2000、XP、2003系统system上, 系统system虽然会就在安装未签名或老版本驱动程序时会有提示, 但安装好之后是能够加载的。

  出于Microsoft意料之外的是, “有数字签名的驱动程序才能被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。 去年的Blackhat会议上, 曾有研究人员演示过就在VistaX64Beta2版本上可以通过修改磁盘上页面文件程序来加载未经数字签名的驱动程序, 虽然这个漏洞稍后被Microsoft补上, 但已经说明可以通过技术手段来突破Vista的驱动加载管理并非不有可能。 但要突破Vista驱动加载管理的更好途径是就在数字签名本身上做功夫, 之前曾有安全研究人员提到, Vista驱动程序的数字签名申请的审核并不严格, 只有请求需要有合法的申请实体, 并交纳少许的申请费用即可。

  这样, 可以通过注册或借用一个公司的名义, Rootkit作者完全可以能够从Microsoft拿到合法的驱动数字签名, 也就是说, 很有有可能会出现拥有Microsoft数字签名的、“合法”的Rootkit程序。 攻击者还可以能够使用特殊的加载程序来加载没经数字签名的程序, 安全公司LinchpinLabs最近就发布出来了一个叫做Astiv的小必备工具, 这个必备工具实现的原理就是使用经过数字签名的系统system组件来加载未经数字签名的驱动程序, 而且用这种方式加载的驱动程序并将不会出现就在正常驱动程序列表中, 更增强了加载目标驱动程序的隐蔽。

  用户访问控制(UAC)是Vista防御恶意软件的另外一个手段

  就在启动了UAC的Vista系统system上, 用户的权限相当于被限制了的管理员权限, 如果用户程序要对系统system盘及注册表等地方来进行修改的话, 有请求需要用户来进行交互的二次确认。 如果用户拒绝或者是目标程序比较特殊(比如木马、后门等)不出现UAC提示, 因为对系统system目录和注册表的访问被Vista所拒绝, 除了极个别不写入系统system目录的之外, 大部分目标程序是再也不能够安装成功的。 Rootkit程序就在UAC环境中同样会因为权限问题而再也不能够安装成功, 但很多情况下, 攻击者会使用社会工程学的方法来诱骗用户信任攻击者所提供的程序, 并就在UAC提示时选择中允许操作。

  此可以能够得出一个结论, 由于WindowsVista从设计design现在开始就很重视安全性, 因此对它推出之前的Rootkit等恶意软件的防御水平到达了一个新的高度, 攻击者单纯靠技术手段攻击的成功率已经比就在原先的Windows2000/XP/2003平台上大为下降。 但我们我自己也应该提醒一定要注意到, 攻击者会更多的使用社会工程手段, 伪造和利用各种信任关系, 欺骗用户安装恶意软件。

  怎么才能就在Vista下对Rootkit类恶意程序来进行防护?用户可以能够参考以下几点:

  1、保持一直Vista的系统system补丁版本为当前最新。

  2、不就在不可信的来源获取软件, 并就在安装使用时留意系统system的各种提示, 尤其是有关联数字签名的提示。

  3、提醒一定要注意UAC的提示信息, 及时拦截试图修改系统system的危险操作。

  4、使用反病毒软件并保持一直病毒库版本为当前最新, 为防护恶意软件多加一层保障。

  5、定期使用支持Vista的反Rootkit必备工具对系统system来进行扫描检查。


 

相关文章
  • Visual Basic 6.0有多少个版本?
  • VMware和Virtual PC大比拼
  • 2017迅雷会员vip账号分享(2017.9.3早上10:11更新)
  • Win10系统下avi文件无法打开怎么办?
  • 活动页面开通腾讯视频VIP可以抢20元手机话费
  • 全民k歌VIP怎么开通?全民k歌VIP有七大特权
  • 怎么激活aiqiyi?爱奇艺VIP激活码怎么用?
  • 8月7号 乐视视频、搜狐视频VIP会员账号
  • 2017建军节土豆vip账号密码8月1日最新
  • 20170801建军节放送爱奇艺最新vip会员账号
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图