了解Vista内核补丁保护

不久前，微软安全技术副总裁向欧洲用户普及了有关Windows Vista的新安全特性。由于篇幅有限，我们在这里仅讨论Vista中的内核补丁保护（KPP）技术。

如果你对此毫无了解，那么我在这里做一个简要介绍。KPP是64bit Vista系统中的一种安全技术，可以防止rootkits控制你的系统。至少KPP的研发初衷是这样的。

大多数人认识rootkits都是在Sony的rootkits事件曝光后。索尼在Neil Diamond以及其它一些歌手的CD中加入了反拷贝软件，这种软件使用了rootkit技术来隐藏自己，当CD被插入电脑后不会被用户发现。索尼的做法看上去是聪明一时，而招来的却是舆论的批判，因为这种技术给系统加了后门，而黑客可以借此机会兴风作浪。

不论Sony的结局如何，来自微软的KPP技术却表示可以阻挡rootkits。该技术会监视内核的数据，确保所有不应该改变的数据都没有被改变。不过问题在于，利用rootkit技术的不仅仅是索尼公司。很多独立的软件厂商都在利用类似的技术注入Windows内核，从而确保他们的安全软件能够正常工作。而微软表示，他们从来没有证明这种做法的安全性，也从来没有支持过这种软件设计方式。看上去那些软件厂商很快就会有麻烦了。

与以往颇费周折的将rootkit移出系统相比，KPP看上去也许真的可以成为一种有效的解决方式。为了获取更多方面的意见，我又与一个Linux服务器管理员聊了一阵，前不久他的一台服务器刚刚被黑客入侵了并植入了rootkit。与很多同事和同行沟通后，看上去只有将一个新硬盘接在系统上，做好系统，再将老硬盘接上，将有用的文件拷贝回来，这一条路可以走了。

因此最后的建议是：不要试图删除rootkit，因为这基本上是不可能的，同时确保删除了黑客添加的全部后门。这里的关键点在于，rootkits是在系统被其它方式入侵后才被植入的。在索尼的案例中，这种方式就是可以自动运行的CD播放软件，接着就是系统允许自动运行的软件重新修改系统配置，这时rootkits才被植入系统。

很难说KPP是否真的会防止此类事件再度发生。微软同时也表示，KPP并不会预防全部的病毒、rootkits或者其它恶意软件攻击系统。KPP只是在众多的防护屏障上再加了一层，对于Intel和AMD的新x64处理器来说，它确实是有益无害的。

（责任编辑:陈毅东）

查看本文的国际来源