Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏信息的目的。

Windows Vista自身對(duì)惡意軟件的防護(hù)主要是通過(guò)驅(qū)動(dòng)程序數(shù)字簽名、用戶訪問(wèn)控制(UAC)和WindowsDefender來(lái)實(shí)現(xiàn)的，前兩者對(duì)Rootkit類惡意軟件的防御尤為重要。因?yàn)镽ootkit的隱藏功能實(shí)現(xiàn)需要加載驅(qū)動(dòng)，我們就先說(shuō)說(shuō)Vista的驅(qū)動(dòng)程序加載管理：Vista驅(qū)動(dòng)程序的安裝加載管理和原有的Windows版本相比有較大的改進(jìn)，在Microsoft的設(shè)計(jì)中，Vista不允許加載沒(méi)有經(jīng)過(guò)數(shù)字簽名的驅(qū)動(dòng)程序，而在之前的Windows2000、XP、2003系統(tǒng)上，系統(tǒng)雖然會(huì)在安裝未簽名或老版本驅(qū)動(dòng)程序時(shí)會(huì)有提示，但安裝好之后是能夠加載的。

出于Microsoft意料之外的是，“有數(shù)字簽名的驅(qū)動(dòng)程序才能被Vista所加載”這個(gè)設(shè)定對(duì)Rootkit類的防護(hù)作用并不是很大。去年的Blackhat會(huì)議上，曾有研究人員演示過(guò)在VistaX64Beta2版本上通過(guò)修改磁盤上頁(yè)面文件來(lái)加載未經(jīng)數(shù)字簽名的驅(qū)動(dòng)程序，雖然這個(gè)漏洞稍后被Microsoft補(bǔ)上，但已經(jīng)說(shuō)明通過(guò)技術(shù)手段來(lái)突破Vista的驅(qū)動(dòng)加載管理并非不可能。但要突破Vista驅(qū)動(dòng)加載管理的更好途徑是在數(shù)字簽名本身上做功夫，之前曾有安全研究人員提到，Vista驅(qū)動(dòng)程序的數(shù)字簽名申請(qǐng)的審核并不嚴(yán)格，只需要有合法的申請(qǐng)實(shí)體，并交納少許的申請(qǐng)費(fèi)用即可。這樣，通過(guò)注冊(cè)或借用一個(gè)公司的名義，Rootkit作者完全可以從Microsoft拿到合法的驅(qū)動(dòng)數(shù)字簽名，也就是說(shuō)，很有可能會(huì)出現(xiàn)擁有Microsoft數(shù)字簽名的、“合法”的Rootkit程序。攻擊者還可以使用特殊的加載程序來(lái)加載沒(méi)經(jīng)數(shù)字簽名的程序，安全公司LinchpinLabs最近就發(fā)布了一個(gè)叫做Astiv的小工具，這個(gè)工具實(shí)現(xiàn)的原理就是使用經(jīng)過(guò)數(shù)字簽名的系統(tǒng)組件來(lái)加載未經(jīng)數(shù)字簽名的驅(qū)動(dòng)程序，而且用這種方式加載的驅(qū)動(dòng)程序并不會(huì)出現(xiàn)在正常驅(qū)動(dòng)程序列表中，更增強(qiáng)了加載目標(biāo)驅(qū)動(dòng)程序的隱蔽。

用戶訪問(wèn)控制(UAC)是Vista防御惡意軟件的另外一個(gè)手段

在開(kāi)啟了UAC的Vista系統(tǒng)上，用戶的權(quán)限相當(dāng)于被限制了的管理員權(quán)限，如果用戶程序要對(duì)系統(tǒng)盤及注冊(cè)表等地方進(jìn)行修改的話，需要用戶進(jìn)行交互的二次確認(rèn)。如果用戶拒絕或者是目標(biāo)程序比較特殊(比如木馬、后門等)不出現(xiàn)UAC提示，因?yàn)閷?duì)系統(tǒng)目錄和注冊(cè)表的訪問(wèn)被Vista所拒絕，除了極個(gè)別不寫入系統(tǒng)目錄的之外，大部分目標(biāo)程序是無(wú)法安裝成功的。Rootkit程序在UAC環(huán)境中同樣會(huì)因?yàn)闄?quán)限問(wèn)題而無(wú)法安裝成功，但很多情況下，攻擊者會(huì)使用社會(huì)工程學(xué)的方法來(lái)誘騙用戶信任攻擊者所提供的程序，并在UAC提示時(shí)選擇允許操作。

至此可以得出一個(gè)結(jié)論，由于WindowsVista從設(shè)計(jì)開(kāi)始就很重視安全性，因此對(duì)它推出之前的Rootkit等惡意軟件的防御水平到達(dá)了一個(gè)新的高度，攻擊者單純靠技術(shù)手段攻擊的成功率已經(jīng)比在原先的Windows2000/XP/2003平臺(tái)上大為下降。但我們也應(yīng)該注意到，攻擊者會(huì)更多的使用社會(huì)工程手段，偽造和利用各種信任關(guān)系，欺騙用戶安裝惡意軟件。

如何在Vista下對(duì)Rootkit類惡意程序進(jìn)行防護(hù)?用戶可以參考以下幾點(diǎn)：

1、保持Vista的系統(tǒng)補(bǔ)丁版本為最新。

2、不在不可信的來(lái)源獲取軟件，并在安裝使用時(shí)留意系統(tǒng)的各種提示，尤其是有關(guān)數(shù)字簽名的提示。

3、注意UAC的提示信息，及時(shí)攔截試圖修改系統(tǒng)的危險(xiǎn)操作。

4、使用反病毒軟件并保持病毒庫(kù)版本為最新，為防護(hù)惡意軟件多加一層保障。

5、定期使用支持Vista的反Rootkit工具對(duì)系統(tǒng)進(jìn)行掃描檢查。