黑客曝Vista终极木马

近日一名俄罗斯安全专家在黑帽大会上向与会人员展示了一项惊人的发现——Windows vista驱动程序潜伏着令人难以致信的危险，其中ATI和NVIDA所提供的官方驱动问题尤为严重!

这名专家名叫Joanna Rutkowska，是虚拟化技术领域的专家，曾在去年的黑帽大会上成功演示了“Blue Pill”的Windows攻击。通过Vista内建虚拟化技术，Blue Pill被作为恶意软件运行，它在启动时进行自激活，并在Vista虚拟化系统中给予自身一个系统管理员权限。Rutkowska通过Blue Pill，有效地获得了对系统的控制权，并且整个过程不会被Windows检测到，因此，它也就成了一个终极木马。

虽然微软声称在Vista的最终发行版中已经修复了这个漏洞，但是从结果来看仍然存在许多可以攻击Windows Vista并安装恶意软件和木马的方式。

在演示中，Ruthkowska通过使用NVIDIA驱动程序作为一个跳板，将代码写入至内核。Ruthkowska现场展示了其开发的一款木马，顺利地绕过了Vista的内核保护系统。

Ruthkowska解释道：“问题全部出在NVIDIA身上，它的驱动程序并未做任何正确的检查，从而使攻击者可以对注册表进行任意读写。”