全面解析恶意软件 从rootkit到bootkit

作者: Noah Schiffman, 　出处:TechTarget,

　　

         如今最致命类型的恶意代码就是"Rootkit" ，这种恶意可以获得"root"权限，并部署恶意程序的可执行的软件包，Rootkit是如何危害用户的呢……

 

　　【IT专家网独家】可以说，如今最复杂，最致命类型的恶意代码就是"Rootkit" 。顾名思义，这种恶意可以获得"root"权限，在unix系统中最高级别的权限，并部署恶意程序的很小的“包”，这些“包”往往是恶意的，并可执行的软件包。这些恶意代码可以提供连续下载并进入了用户机器。

 

　　今天的Rootkit技术利用手中的特权，进入操作系统的内核。这些"内核模式"Rootkit程序同其他可信赖的系统进程运行在同一较低水平级上，从而获取系统控制，并提供有效的方法来保持隐蔽。

 

　　Rootkit高效的获取系统准入使得安全领域的检测技术受到极大的挑战。为防止内核模式的恶意软件以及数字权限管理(DRM)的侵犯，微软在其Vista操作系统中增加了安全策略，在其设备驱动中要求数字签名。这一安全机制，一直被外界批评，因为其同时防止合法的第三方应用软件开发商驱动程序。微软认为，虽然造成部分周边设备的不相容，但vista的驱动安全策略是对创造带有引导扇区病毒后门的挑战。

 

　　Bootkit

　　前段时间恶意代码借助移动存储设备在互联网上大规模的传播。恶意软件通常隐藏在磁盘的引导扇区，它就像电子寄生虫，当用户开机时感染用户计算机。恶意代码可以影响硬盘驱动器的主引记录，每一个分区的引导扇区，或是硬盘分区表(DPT)。如今当我们讨论新的Rootkit技术可以攻破vista设备驱动签名请求时，磁盘引导病毒也已经关注于此技术。

 

　　" Bootkit "主要利用其内核准入和开机过程的隐身技术，当在功能上并无异于Rootkit。他们的不同主要表现在获取准入的方式上。传统的rootkit利用系统启动时提升权限。而Bootkit是被安置在外设的主引导扇区和驻留在整个系统的启动过程。这个概念是在2005年被第一次提出的，当时eEye Digital安全公司的研究人员正研究如何在系统启动时利用BIOS。他们的"BootRoot"项目介绍了如何利用系统引动过程接入windows内核的代码。

 

　　今年4月，在欧洲的BlachHat，来自印度NV实验室的研究人员公布了允许接入内核的引导代码“VBootkit”。尽管对于Bootkit和VBootkit存在一些争议，但最新的VBootkit包含可以在Microsoft Vista启动过程中执行的代码。不论那种引导平台被使用，但bootkit技术大都在系统启动过程做文章。

 

　　Bootkit的引导扇区代码总是在ROM BIOS执行后主引导记录被载入前劫持系统启动程序。一旦被载入到内存，代码便执行中断指令，也就是俗称的HOOK挂钩。它挂接到INT 13指示后续扇区读取其信息。这个过程完成后，Bootkit试图改变引导过程的结构和操作逻辑流程。

 

　　这些修改代码在系统启动的各个阶段被使用以便于绕过数字签名验证。为了使Bootkit代码不被检测出，许多强制跳转在内存中被使用。Rootkit也可以估算替换封包内容值，这些位值可以被利用来验证文件的完整性。

 

　　一旦Rootkit悄无声息的进驻系统内核，便可以执行更多的有效指令。至少一个秘密的通道已经被建立起来，恶意代码或黑客可以不受限制的进入受害人的机器。Rootkit的附加指令可以执行并获取用户的名及密码，禁用某些应用程序(这往往是一些安全套件或反病毒工具)，利用受害者机器作为代理进行攻击或传播自己的Rootkit。

 

　　这些被利用来操纵系统内核的机器指令方法充分证明了恶意程序的严重性。虽然有很多检测清除Rootkit的工具存在，但是Rootkit也强调了预防的严重性。引导过程注入使得我们必须将准入策略作为整个安全体系的一部分。

 

　　要防Bbootkit技术就必须保护计算机的启动过程。系统的BIOS可配置成关闭除硬盘以外任何设备启动。此外去禁止任意未经授权的改变，系统BIOS可以采用密码保护。限制主板BIOS和BIOS电源的接入，两者都可以用来清除bios的密码。放置在公共场所的系统，应考虑驱除外接media组件，例如软驱及CD/DVD驱动器。

 

　　不论何种接入系统内核的手段，Rootkit的威力是巨大的并且是实实在在的威胁。虽然Rootkit在众多恶意软件中还只占了很小一部分，但是大多数安全软件相对恶意软件技术是滞后的，并且Rootkit是很难被检测出其存在的。系统的周遍保护，限制用户权限级别，加上严格控制经营服务将提供强大的网络防御，抵制恶意渗透。当然安全厂商也应加紧分析Rootkit技术，并在其产品中应用，保证用户的使用安全。