【2005-08-11 13:52】【Kurt Dillard】【techtarget】
http://searchsecurity.techtarget.com.cn/tips/154/2067654.shtml
虽然rootkit多年来一直威胁着各种平台,但是,直到最近rootkit的制作者和清除者才展开大规模的战斗。对阵的双方是Holy Father(圣父)的“黑客守卫者”和Sysinternals公司的“rootkit检查器”。微软的Kurt Dillard描述了双方对垒的情况以及这种斗争如何有助于rootkit这种破坏性的恶意软件的发展。rootkit在各种平台上已经出现很多年了。第一个已知的Windowsrootkit是www.rootkit.com网站的创始人Greg Hoglund在1999年发布的“NTrootkit”。从那以后,出现了很多功能更强大的rootkit。人们最常见的rootkit是“黑客守卫者”。这个软件是一位自称是“圣父”的东欧人制作的。最新的免费版本的“黑客守卫者”是在2004年年初发布的。最近,这个恶意软件又发布了收费的和定制的版本。虽然多年以来各个机构的技术支持人员一直在努力清除rootkit,但是,在今年以前这类恶意软件一直没有受到IT商业媒体的关注。Counterpane互联网安全公司创始人和首席技术官Bruce Schneier今年2月17日在他的网络日志中发表了一篇有关微软研究院的论文的文章。这篇文章介绍了如何使用微软的工具软件“Strider Ghostbuster”检测顽固的rootkit。同一天,我的一位同事、微软安全解决方案事业部的策划经理Mike Danseglio和我在讨论Windows中的rootkit的RSA会议上发表了演讲。我们的会议意外地引起了新闻媒体的极大兴趣。媒体的关注与对Schneier的网络日志关注结合在一起促使很多人突然警惕起来,开始关注rootkit可能给Windows网络带来的潜在的破坏。这些消息发表不到一个星期,自由软件网站Sysinternals的两位创始人Bryce Cogswell和Mark Russinovich就发表了他们第一个版本的rootkit检测工具“rootkit检查器”。通过对几种对象类型实施高级和低级的扫描,这个工具能够检测出各种顽固的rootkit和行为类似于rootkit的恶意软件。一个“圣父”的支持者随后公布了一个指南,介绍如何修改“黑客守卫者”的配置文件以避开“rootkit检查器”的检测或者避免被其它检测工具打上危险的标签。 Russinovich和Cogswell迅速做出了反应,发布了升级版本的“rootkit检查器”,打破了这种简单的防御措施。此后不久,许多厂商都发布了监测和删除工具。例如,微软在今年4月份发布的恶意软件清除工具就增加了rootkit检测和清除功能。“圣父”本人也参加了这场智慧与毅力的战斗。他在网络日志中吹嘘说,他的新版本的“黑客守护者”能够挫败“rootkit检查器”和其它许多反恶意软件工具。他把这些“黑客守护者”软件命名为白银版和黄金版,而且宣布这两种版本的软件价格分别是300欧元和450欧元(约合360美元和540美元)。他声称,黄金版本的“黑客守护者”能够避开几乎所有的恶意软件检测技术。(它不能躲开什么检测工具?中国开发的一种名为“冰刃”(IceSword)的软件是一种最有希望的工具。这个软件目前没有英文版。未来的指南中将进一步介绍“冰刃”。)“rootkit检查器1.55版”在今年7月12日发布了。这个工具检测试图隐藏起来的rootkit软件的方法是直截了当的:它把注册表扫描的结果和对文件系统实施最高级和最低级扫描的结果进行对比。Windows中的API提供了一个高水平的观察点,掩人耳目的rootkit可以过滤这些观察点。在低级扫描中,“rootkit检查器”直接检查各个存储器和注册表存储器中的原始数据。为了防止“圣父”和其他rootkit作者的反击,最新版本的“rootkit检查器”使用Windows服务创建了一个随机命名的自己的副本。这种方法是非常有效的。但是,Russinovich和Cogswell承认,从理论上说,rootkit软件可以避开“rootkit检查器”的检测。然而,这需要较高级的水平。这种水平到目前为止在rootkit领域还没有看到。“圣父”许诺说,他的新版本的rootkit将在今年8月份完成。同黄金版的“黑客守护者”一样,新版本的软件也是收费的。我希望得到这个恶意软件。这样,我可以亲自检查这个恶意软件是如何抵抗最新的自动清除工具的。我还将调查在对付“圣父”最佳的rootkit软件时,采用手工的方法是否有效。另一方面,我不支持向这种软件的作者付钱,以支持他制作这种破坏性的软件。
