尽管Windows Vista被人誉为是2007年最安全的Windows操作系统,但这个最新的微软操作系统将面临一场严峻的考验。一种新的引导区rootkit将有可能让Windows Vista低下高昂的头。
尽管Windows Vista被人誉为是2007年最安全的Windows操作系统,但这个最新的微软操作系统将面临一场严峻的考验。一种新的引导区rootkit将有可能让Windows Vista低下高昂的头。
早在2008年的年初,GMER就警告用户于2007年年底发现的一种新的隐形的主引导区rootkit在互联网上正疯狂肆虐,它很有可能危及最新的操作系统Windows Vista。
据GMER成员介绍说,“很不幸,所有的Windows NT系列包括Vista都存在同样一个MBR主引导区漏洞。它允许在用户模式下修改主引导区。尽管微软在页面文件攻击事件后阻止在用户模式下进行磁盘扇区写操作,但是磁盘的第一扇区仍然没有受到保护。”这种具有高度隐藏性的rootkit最早是MR小组的成员在2007年年底发现的。如果主引导区仍然没有受到保护,那么在不远的将来Windows NT系列的系统都将受到严重的威胁。
一旦这种rootkit感染了一台安装有Vista系统的机器,它将完全控制系统启动前执行的启动进程码。并且,它要隐藏自己只需取得一些磁盘扇面的控制权就可以了。这样看来,这种rootkit代码并不是仅仅以一个文件的形式存在,而是通过磁盘扇区进行传播,在主引导区载入恶意代码时甚至在注册表里都不会留下任何痕迹。
很明显,这种rootkit是根据2005年美国黑帽大会上安全专家Derek Soeder 和 Ryan Permeh用来作示范的eEye BootRoot进行修改而来的。当时用eEye BootRoot只是证明可以通过修改引导扇区代码来颠覆Windows内核。再回顾2006年,当Windows Vista正处于最后的开发阶段,安全专家Joanna Rutkowska对Vista的RC2版本就成功进行过页面攻击。从那时开始,雷蒙德公司就阻止了在用户模式下对磁盘扇区进行写入的操作,即使提高了权限也无法执行写入操作。但是很可惜,雷蒙德公司至今都没有对磁盘第一扇区进行保护。