免费程序入侵vista内核防御系统

作者：陈将

记者从外电获悉，Symantec研究人员的调查显示，在64位版本的Windows Vista中的一个安全配置能够被一种免费的程序所破解，这种程序会将未经许可的驱动植入到系统内核中。

　　在64位版本的vista的安全设施中，有一个微软操作系统创新的地方：只有数字验证代码能被植入到系统内核中。在这些新的规则之下，系统内核的代码----典型的驱动就是----必须有一个经过验证的证书，而这些证书来自于发行商授权，且数量是有限。没有合法证书的驱动是不能下载的。

　　当时在这一行动背后的思考是考虑到通过这种方式可以有效的阻止rootkits, rootkits会下载驱动代码到系统内核中作为它们的隐藏策略的一部分。

　　但是Symantec的安全研究者指出来自于澳大利亚软件开发商LinchpinLabs的一款实用程序可以作为一种简单的循环端，Ollie Whitehouse说，他是Symantec公司的高级威胁研究小组的一位架构工程师，LinchpinLabs的Atsiv利用经过许可的的驱动来下载未经许可的代码到vista的内核系统中。

　　“Atsiv的命令行工具下载它自己合适的驱动，然后就会反过来通过PE加壳方式允许下载不被认证的驱动。”Whitehouse说道，“下载器的副作被软件设计者在他们的设计文件中所发现，Atsiv并没有将他们的驱动添加到PsLoadedModules列表中，因此在标准的驱动列表中你是看不到他们的。”这实际上就是rootkit特征行为

　　LinchpinLabs的开发者之一Dan，在rootkit.com辩称vista的认证要求并不能阻止恶意软件，它仅仅只是阻止了自由的选择这些恶意软件。”他同时也声称微软从来就没有能阻止黑客们获得合法的认证号。

　　“一个得到认证的文件唯一确认的仅仅是开发这个文件的公司，但是当公司为了保护产权而创造和注册的时候，我们不得不问驱动认证究竟代表了什么？”Dan问道，“当驱动认证书能够被废除，这样只要有足够的钱，一个新的认证书就会比改变文件的签名更快的被创造。如果真的是这种情况的话，那么也就是电脑爱好者和家庭用户不再花钱购买软件的时候。”

　　Whitehouse同意微软执行禁止未经授权的代码的禁令只有撤回它的授权书。“首先，那将会是非常有趣的去观察微软会花费多长的时间来这样做。”Whitehouse说，“第二，正如Dan 所指出的，他们所要做的只是一个人去注册另外一家公司，获得另外一个授权证书，然后这个过程就会周而复始。”

　　尽管两者都与微软的64位内核系统有关，认证代码要求并不是直接的与PatchGuard相关，这是一种禁止所谓的内核补丁或是内核入侵的保护方案。PatchGuard一直就是微软公司与几家安全公司长期争论的焦点，Symantec也包括在内，主要是因为其过分的接近了内核系统。

　　Symantec, McAfee和其它的公司辩称说他们需要把他们的代码植入到操作系统的内核中来防止各种恶意软件的入侵。

　　微软目前还没有就是否回撤消Atsiv的授权证书问题作出回答。