检测虚拟化Rootkit　发现隐藏的恶意软件

没有任何恶意软件是不可发现的，虚拟Rootkit也不例外。这是近期黑帽美国会议上发出的明确的信息。一个由知名的安全研究人员组成的小组主持召开了一个会议，介绍他们认为能够有效地发现虚拟化的Rootkit的方法，如Joanna Rutkowska的著名的“蓝色药丸”或者Dino Dai Zovi的“Vitriol”。这些研究人员简要介绍了检测Rootkit活动踪迹的许多技术，包括发现侧信道攻击、管理程序瑕疵和由恶意软件引起的错误等。

Root Labs主要分析师和这个会议的共同主持人Nate Lawson说，你基本上陷入了猫捉老鼠的游戏中。在这个游戏中，攻击者设计一些代码，你寻找那个代码的特征并且发现它，然后再在一个大圈子里重复所有这些事情。我们以前看到过这个东西，人们总是能找到对应的措施。我们预计这个事情将以同样的方式继续下去。

参加演示的人还有位于纽约的Matasano安全公司的Thomas Ptacek和赛门铁克公司的Dai Zovi和Peter Ferrie。他们讲话的重点是介绍“蓝色药丸”的属性和他们预测“蓝色药丸”在攻破的系统中的行为方式。波兰著名研究人员Rutkowska在2006年的黑帽会议上谈了这种管理程序Rootkit。她的讲话引起了轩然大波。但是，她从那以后没有多谈“蓝色药丸”的确切性能和功能。她声称“蓝色药丸”是完全检测不到的说法受到了其他研究人员的批评。

Ptacek说，我们对揭露这个说法的真相非常感兴趣。

这些演示者对“蓝色药丸”的批评是它试图模仿一台x86机器的整个架构，而不是像常规的内核模式Rootkit那样仅模仿操作系统的某一部分。Lawson说，这种野心勃勃的设计确实让“蓝色药丸”不可发现。因为它必须要模仿许多不同的组件，它肯定要在某个地方留下踪迹。

Lawson介绍的检测虚拟化Rootkit的方法之一是观察翻译后援存储器(TLB)的变化，翻译后援存储器是CPU的一个缓存。当某些东西引起一个虚拟机退出的时候，这个管理程序就在TLB中留下了它出现的踪迹。因此，检测一个管理程序Rootkit的方法就是引起它退出，然后读取TLB中的数据，寻找那里的变化。

但是，Lawson和Ptacek承认，没有办法阻止恶意软件作者编写检测“Rootkit检测器”的功能。Lawson说，这就回到了人们熟悉的攻击者和防御者之间的猫捉老鼠的游戏。

Lawson说，你最后的结果是与我们所看到的杀毒引擎和病毒一样的圈子。我们在那里寻找你最新版本的代码，找到方法检测它，然后你写一个新版本的病毒，我们再从头开支。这个现实是没有绝对的游戏终点。恶意软件作者不可能写出100%检测不到的东西。我也不可能写出能够检测出所有恶意软件的检测器。

这个小组的研究人员还讨论了他们自己的检测软件的一些细节。这个检测软件名为“Samsara”，将在几个星期后发布。他们将免费提供这个工具的代码。他们还将为了测试制作一个基于硬件的原型Rootkit。　　这个Rootkit会议原来打算进行现场演示。在这个演示中，Rutkowska向几台干净的Vista机器装载“蓝色药丸”。Ptacek和参加演示的同伴将向所有的电脑装载检测工具Samsara并且设法查出这个Rootkit。但是，Rutkowska不愿意进行这种演示，而是坐到了观众席上。

最新相关文章

• ·焦点间谍修改注册表 篡改IE浏览器默认设置
• ·系统伤口下载器制造后门并下病毒
• ·“ARP蜗牛”攻击堵塞局域网
• ·360安全卫士疑被挂马 多款杀毒软件报警
• ·赤水牛开后门并破坏可执行程序
• ·“风花雪月”制造后门并传播情书
• ·360声明千千静听存在安全漏洞
• ·视窗杀手感染exe文件并无法启动
• ·安全保护有新规 窃QQ号最高罚一万五
• ·打PowerPoint漏洞补丁 防ppt蛀虫病毒
• ·4月1日病毒播报:小心“虫尾巴”蠕虫病毒
• ·黑客大会Vista被攻破的漏洞源自Flash插件
• ·“AUTO木马”群体作案危害更甚
• ·卡巴遭最惨破解 黑客一次送40多激活码
• ·循环瘫痪下载器关闭杀软和防火墙
• ·假保安诈骗木马下载伪杀软来诈骗