Windows Vista系統下的Rootkit攻防

　　Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，Rootkit一般都和木馬、後門等其他惡意程序結合使用。Rootkit通過加載特殊的驅動，修改系統內核，進而達到隱藏信息的目的。

　　Windows Vista自身對惡意軟件的防護主要是通過驅動程序數字簽名、用戶訪問控制(UAC)和WindowsDefender來實現的，前兩者對Rootkit類惡意軟件的防御尤為重要。因為Rootkit的隱藏功能實現需要加載驅動，我們就先說說Vista的驅動程序加載管理：Vista驅動程序的安裝加載管理和原有的Windows版本相比有較大的改進，在Microsoft的設計中，Vista不允許加載沒有經過數字簽名的驅動程序，而在之前的Windows2000、XP、2003系統上，系統雖然會在安裝未簽名或老版本驅動程序時會有提示，但安裝好之後是能夠加載的。

　　出於Microsoft意料之外的是，“有數字簽名的驅動程序才能被Vista所加載”這個設定對Rootkit類的防護作用並不是很大。去年的Blackhat會議上，曾有研究人員演示過在VistaX64Beta2版本上通過修改磁盤上頁面文件來加載未經數字簽名的驅動程序，雖然這個漏洞稍後被Microsoft補上，但已經說明通過技術手段來突破Vista的驅動加載管理並非不可能。但要突破Vista驅動加載管理的更好途徑是在數字簽名本身上做功夫，之前曾有安全研究人員提到，Vista驅動程序的數字簽名申請的審核並不嚴格，只需要有合法的申請實體，並交納少許的申請費用即可。這樣，通過注冊或借用一個公司的名義，Rootkit作者完全可以從Microsoft拿到合法的驅動數字簽名，也就是說，很有可能會出現擁有Microsoft數字簽名的、“合法”的Rootkit程序。攻擊者還可以使用特殊的加載程序來加載沒經數字簽名的程序，安全公司LinchpinLabs最近就發布了一個叫做Astiv的小工具，這個工具實現的原理就是使用經過數字簽名的系統組件來加載未經數字簽名的驅動程序，而且用這種方式加載的驅動程序並不會出現在正常驅動程序列表中，更增強了加載目標驅動程序的隱蔽。

　　用戶訪問控制(UAC)是Vista防御惡意軟件的另外一個手段

　　在開啟了UAC的Vista系統上，用戶的權限相當於被限制了的管理員權限，如果用戶程序要對系統盤及注冊表等地方進行修改的話，需要用戶進行交互的二次確認。如果用戶拒絕或者是目標程序比較特殊(比如木馬、後門等)不出現UAC提示，因為對系統目錄和注冊表的訪問被Vista所拒絕，除了極個別不寫入系統目錄的之外，大部分目標程序是無法安裝成功的。Rootkit程序在UAC環境中同樣會因為權限問題而無法安裝成功，但很多情況下，攻擊者會使用社會工程學的方法來誘騙用戶信任攻擊者所提供的程序，並在UAC提示時選擇允許操作。

　　至此可以得出一個結論，由於WindowsVista從設計開始就很重視安全性，因此對它推出之前的Rootkit等惡意軟件的防御水平到達了一個新的高度，攻擊者單純靠技術手段攻擊的成功率已經比在原先的Windows2000/XP/2003平台上大為下降。但我們也應該注意到，攻擊者會更多的使用社會工程手段，偽造和利用各種信任關系，欺騙用戶安裝惡意軟件。

　　如何在Vista下對Rootkit類惡意程序進行防護?用戶可以參考以下幾點：

　　1、保持Vista的系統補丁版本為最新。

　　2、不在不可信的來源獲取軟件，並在安裝使用時留意系統的各種提示，尤其是有關數字簽名的提示。

　　3、注意UAC的提示信息，及時攔截試圖修改系統的危險操作。

　　4、使用反病毒軟件並保持病毒庫版本為最新，為防護惡意軟件多加一層保障。

　　5、定期使用支持Vista的反Rootkit工具對系統進行掃描檢查。