引:著名的安全分析师Joanna Rutkowska, 在今夏曾演示过如何绕过Windows Vista的新反恶意软件保护机制,在本周四表示Vista最新的build版本已经能阻止类似事件的发生了。
著名的安全分析师Joanna Rutkowska, 在今夏曾演示过如何绕过Windows Vista的新反恶意软件保护机制,在本周四表示Vista最新的build版本已经能阻止类似事件的发生了。
在Windows Vista的64位版本里,所有的内核命令驱动都需要经过数字签名认证,这与以前版本的Windows有所不同,之前Windows只是建议和鼓励驱动程序签名但并不需要它们。今年夏天,为总部在新加坡的安全公司COSEINC工作的Rutkowska演示了如何通过允许未经签名认证的驱动程序来访问Vista的内核。这种技术一旦为黑客所利用,他们就能在新的操作系统里安置恶置软件。
不过,Rutkowska说Vista 64位版本的候选发布版2(RC2)已经能阻止类似的攻击了。
“Vista RC2现在阻止了以用户模式的应用程序向原始扇区写入数据,即使这些程序是以管理员权限运行着的。”她在一篇博客里写道。
不过尽管Vista阻止了攻击,微软用来阻止此类攻击的技术却也是有缺陷的,Rutkowska争论道。她说,通过从Vista的用户模式阻止向原始扇区写入访问,有可能引起一些兼容性问题,(想想那些磁盘编辑器,文件恢复软件),同时这也不是一样真正解决问题的的办法。“
她争论的焦点是合法的,经过数字签名的驱动能够——也有可能——被利不法分子利用,然后用在攻击中,向安装了Vista的机器里安装恶意软件和其它不良软件。“没有什么能阻止攻击者使用这样一个经过签名认证的驱动程序来发起攻击,”她说道,“驱动程序本身并没有问题,因此没理由废除它的签名。”
Rutkowska以发明了”Blue Pill”技术而闻名,Blue Pill能在AMD和Intel的硬件虚拟化技术下执行并通过非常隐蔽的恶意软件来劫持服务器的操作系统。
|
