Windows Vista体系下之Rootkit攻防link在大多数情况下黑客入侵远程系统必须把木马程序或后门程序上传到远程系统当中。如何才能切断黑客的这条后路呢?NTFS文件系统中的磁盘配额功能就能帮助用户轻松实现对磁盘使用空间的管理。 1.首先右www.1safe.co.cc Rootkit是一种特别的恶意软件,它的功效是在安装目标上藏藏自身及指定的文件、历程和网络链接等信息,Rootkit一般都和木马、后门等其他恶意程序联合使用。Rootkit通过加载特别的驱动,改动体系内核,入而达到藏藏信息的目标。
Windows Vista自身对恶意软件的防护首要是通过驱动程序数字签名、用户拜访节制(UAC)和WindowsDefender来实现的,前两者对Rootkit类恶意软件的防备尤为首要。因为Rootkit的藏藏功效实现须要加载驱动,我们就先说说Vista的驱动程序加载管理:Vista驱动程序的安装加载管理和原有的Windows版原形比有较大的改善,在Microsoft的设计中,Vista不容许加载没有经由数字签名的驱动程序,而在之前的Windows2000、XP、2003体系上,体系虽然会在安装未签名或老版本驱动程序时会有提醒,但安装好之后是能够加载的。
出于Microsoft意料之外的是,“有数字签名的驱动程序能力被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。去年的Blackhat会议上,曾有研讨人员演示过在VistaX64Beta2版本上通过改动磁盘上页面文件来加载未经数字签名的驱动程序,虽然这个马脚稍后被Microsoft补上,但已经阐明通过技术手腕来突破Vista的驱动加载管理并非不可能。但要突破Vista驱动加载管理的更好道路是在数字签名本身上做工夫,之前曾有安全研讨人员提到,Vista驱动程序的数字签名申请的审核并不严厉,只须要有合法的申请实体,并交纳少许的申请费用即可。这样,通过注册或借用一个公司的名义,Rootkit作者完整可以从Microsoft拿到合法的驱动数字签名,也就是说,很有可能会呈现拥有Microsoft数字签名的、“合法”的Rootkit程序。攻击者还可以使用特别的加载程序来加载没经数字签名的程序,安全公司LinchpinLabs最近就宣告了一个叫做Astiv的小工具,这个工具实现的原理就是使用经由数字签名的体系组件来加载未经数字签名的驱动程序,而且用这种办法加载的驱动程序并不会呈现在正常驱动程序列表中,更加强了加载目标驱动程序的隐藏。
用户拜访节制(UAC)是Vista防备恶意软件的另外一个手腕
在开启了UAC的Vista体系上,用户的权限相称于被限制了的管理员权限,如果用户程序要对体系盘及注册表等处所入行改动的话,须要用户入行交互的二次确认。如果用户谢绝或者是目标程序比拟特别(好比木马、后门等)不呈现UAC提醒,因为对体系目录和注册表的拜访被Vista所谢绝,除了极个别不写入体系目录的之外,大部门目标程序是无法安装胜利的。Rootkit程序在UAC环境中同样会因为权限问题而无法安装胜利,但良多情形下,攻击者会使用社会工程学的办法来欺骗用户信赖攻击者所提供的程序,并在UAC提醒时选择容许操作。
至此可以得出一个结论,因为WindowsVista从设计起头就很器重安全性,因此对它推出之前的Rootkit等恶意软件的防备程度达到了一个新的高度,攻击者单纯靠技术手腕攻击的胜利率已经比在原先的Windows2000/XP/2003平台上大为降落。但我们也该当注意到,攻击者会更多的使用社会工程手腕,伪造和利用各种信赖关系,诈骗用户安装恶意软件。
如何在Vista下对Rootkit类恶意程序入行防护?用户可以参考以下几点:
1、坚持Vista的体系补丁版本为最新。
2、不在不可托的滥觞获取软件,并在安装使用时留神体系的各种提醒,尤其是有关数字签名的提醒。
3、注意UAC的提醒信息,及时阻拦试图改动体系的危险操作。
4、使用反病毒软件并坚持病毒库版本为最新,为防护恶意软件多加一层保障。
5、按期使用支撑Vista的反Rootkit工具对体系入行扫描检讨。
【本文转自51CTO.com】
更多Vista内容请望:天极Windows Vista频道、天极Windows Vista利用专区
涉猎关于 Vista Windows 操作体系 恶意软件 Rootkit 的全体文章
使用Windows2000/XP/Server2003的用户一定听说或接触过EFS,但由于其较为复杂,弄不好就会丢失数据。因此,很多人并没有使用它。其实,EFS并没有我们想像中的那样难,关键要www.1safe.co.cc
Windows Vista自身对恶意软件的防护首要是通过驱动程序数字签名、用户拜访节制(UAC)和WindowsDefender来实现的,前两者对Rootkit类恶意软件的防备尤为首要。因为Rootkit的藏藏功效实现须要加载驱动,我们就先说说Vista的驱动程序加载管理:Vista驱动程序的安装加载管理和原有的Windows版原形比有较大的改善,在Microsoft的设计中,Vista不容许加载没有经由数字签名的驱动程序,而在之前的Windows2000、XP、2003体系上,体系虽然会在安装未签名或老版本驱动程序时会有提醒,但安装好之后是能够加载的。
出于Microsoft意料之外的是,“有数字签名的驱动程序能力被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。去年的Blackhat会议上,曾有研讨人员演示过在VistaX64Beta2版本上通过改动磁盘上页面文件来加载未经数字签名的驱动程序,虽然这个马脚稍后被Microsoft补上,但已经阐明通过技术手腕来突破Vista的驱动加载管理并非不可能。但要突破Vista驱动加载管理的更好道路是在数字签名本身上做工夫,之前曾有安全研讨人员提到,Vista驱动程序的数字签名申请的审核并不严厉,只须要有合法的申请实体,并交纳少许的申请费用即可。这样,通过注册或借用一个公司的名义,Rootkit作者完整可以从Microsoft拿到合法的驱动数字签名,也就是说,很有可能会呈现拥有Microsoft数字签名的、“合法”的Rootkit程序。攻击者还可以使用特别的加载程序来加载没经数字签名的程序,安全公司LinchpinLabs最近就宣告了一个叫做Astiv的小工具,这个工具实现的原理就是使用经由数字签名的体系组件来加载未经数字签名的驱动程序,而且用这种办法加载的驱动程序并不会呈现在正常驱动程序列表中,更加强了加载目标驱动程序的隐藏。
用户拜访节制(UAC)是Vista防备恶意软件的另外一个手腕
在开启了UAC的Vista体系上,用户的权限相称于被限制了的管理员权限,如果用户程序要对体系盘及注册表等处所入行改动的话,须要用户入行交互的二次确认。如果用户谢绝或者是目标程序比拟特别(好比木马、后门等)不呈现UAC提醒,因为对体系目录和注册表的拜访被Vista所谢绝,除了极个别不写入体系目录的之外,大部门目标程序是无法安装胜利的。Rootkit程序在UAC环境中同样会因为权限问题而无法安装胜利,但良多情形下,攻击者会使用社会工程学的办法来欺骗用户信赖攻击者所提供的程序,并在UAC提醒时选择容许操作。
至此可以得出一个结论,因为WindowsVista从设计起头就很器重安全性,因此对它推出之前的Rootkit等恶意软件的防备程度达到了一个新的高度,攻击者单纯靠技术手腕攻击的胜利率已经比在原先的Windows2000/XP/2003平台上大为降落。但我们也该当注意到,攻击者会更多的使用社会工程手腕,伪造和利用各种信赖关系,诈骗用户安装恶意软件。
如何在Vista下对Rootkit类恶意程序入行防护?用户可以参考以下几点:
1、坚持Vista的体系补丁版本为最新。
2、不在不可托的滥觞获取软件,并在安装使用时留神体系的各种提醒,尤其是有关数字签名的提醒。
3、注意UAC的提醒信息,及时阻拦试图改动体系的危险操作。
4、使用反病毒软件并坚持病毒库版本为最新,为防护恶意软件多加一层保障。
5、按期使用支撑Vista的反Rootkit工具对体系入行扫描检讨。
【本文转自51CTO.com】
更多Vista内容请望:天极Windows Vista频道、天极Windows Vista利用专区
涉猎关于 Vista Windows 操作体系 恶意软件 Rootkit 的全体文章
使用Windows2000/XP/Server2003的用户一定听说或接触过EFS,但由于其较为复杂,弄不好就会丢失数据。因此,很多人并没有使用它。其实,EFS并没有我们想像中的那样难,关键要www.1safe.co.cc
选择“Disable on www.wenxuecity.com”
选择“don't run on pages on this domain”
