蓝色小药丸真能攻破 Vista?
(2008-09-15 23:40:18)
标签:
vista后门程式药丸驱动程式新加坡it |
Vista
对于核心层的保护,让许多骇客入侵手法失效。但在 2006 年美国黑帽大会上,首度破功。新加坡资安研究公司 Coseinc
的波兰籍研究员 Joanna Rutowska,曾经展示蓝色小药丸 (Blue Pill) 手法,利用绕过 PatchGuard
的技术,成功入侵 Vista。不过,同一家公司在台湾的弱点研究员 Nanika
则表示,目前这样的手法还是倾向研究室里的实验手法,可复制性还不高。
Nanika
进一步表示,Joanna Rutowska 在 2006
年黑帽大会上展示的入侵手法,就是一种利用虚拟机器的入侵方式,处理器必须能支援虚拟化功能,当时是以 AMD
处理器做示范。
因为
Vista 有 PatchGuard,也需要驱动程式认证,所以,Joanna Rutowska 利用 Page File
的手法,交换记忆体存取,藉由读取实体磁碟的记忆体,修改虚拟记忆体,植入后门程式。该手法出现后,微软已经立即修补,目前正式版的
Vista 已经没有这个问题了。
今年的黑帽大会上,Joanna Rutowska 则透过第三方驱动程式的漏洞,利用
Nvidia、ATI 等显示卡驱动程式的漏洞,以虚拟化技术植入后门程式。Nanika
表示,有一些方法还是需要做第三方驱动程式认证检查,必须是在 PatchGuard 及驱动程式认证被关掉的情况下,才可能绕过
PatchGuard 防止核心程式被篡改的机制。
Nanika
表示,蓝色小药丸手法,会遇到稳定性的问题,因为,这是属于底层的后门,最怕不稳定而系统出现蓝色画面。他说,因为是一种利用虚拟机器的方式,所以处理器也必须能支援虚拟化功能。
中华电信数据分公司资安办公室资安技术组组长李伦铨表示,蓝色小药丸是利用AMD
处理器找出后门程式的核心,是一种虚拟机器的 Rootkit,对于监听、拦截、执行,偷资料有帮助;但从 Joanna Rutowska
今年示范的 Vista 入侵手法看来,「第三方应用程式的弱点,将会是未来入侵 Vista 作业系统核心层的跳板。」Nanika
说。
阿码科技首席资安研究员邱铭彰表示,对一些骇客而言,不能远端遥控并大量复制的手法,不算是好的入侵手法。蓝色小药丸手法只能在本机端执行,且必须在特定的条件下才能执行,缺乏可被大量复制的诱因,难以成为主流的入侵手法。
第三方应用程式的弱点,将会是未来 Vista
作业系统中,最可能被用来攻击的漏洞。
Nanika
新加坡资安研究公司 Coseinc 在台湾的弱点研究员,全世界第一个发现 Adobe Reader
漏洞的人
前一篇:政府不应该做三鹿的挡箭牌
后一篇:应对毒奶粉事件,三鹿决定更换标示