注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

蓝色小药丸真能攻破 Vista?  

2008-09-15 23:40:18|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Vista对于核心层的保护,让许多骇客入侵手法失效。但在 2006 年美国黑帽大会上,首度破功。新加坡资安研究公司 Coseinc的波兰籍研究员 Joanna Rutowska,曾经展示蓝色小药丸 (Blue Pill) 手法,利用绕过 PatchGuard的技术,成功入侵 Vista。不过,同一家公司在台湾的弱点研究员 Nanika则表示,目前这样的手法还是倾向研究室里的实验手法,可复制性还不高。
Nanika进一步表示,Joanna Rutowska 在 2006年黑帽大会上展示的入侵手法,就是一种利用虚拟机器的入侵方式,处理器必须能支援虚拟化功能,当时是以 AMD处理器做示范。
因为Vista 有 PatchGuard,也需要驱动程式认证,所以,Joanna Rutowska 利用 Page File的手法,交换记忆体存取,藉由读取实体磁碟的记忆体,修改虚拟记忆体,植入后门程式。该手法出现后,微软已经立即修补,目前正式版的Vista 已经没有这个问题了。
今年的黑帽大会上,Joanna Rutowska 则透过第三方驱动程式的漏洞,利用Nvidia、ATI 等显示卡驱动程式的漏洞,以虚拟化技术植入后门程式。Nanika表示,有一些方法还是需要做第三方驱动程式认证检查,必须是在 PatchGuard 及驱动程式认证被关掉的情况下,才可能绕过PatchGuard 防止核心程式被篡改的机制。
Nanika表示,蓝色小药丸手法,会遇到稳定性的问题,因为,这是属于底层的后门,最怕不稳定而系统出现蓝色画面。他说,因为是一种利用虚拟机器的方式,所以处理器也必须能支援虚拟化功能。
中华电信数据分公司资安办公室资安技术组组长李伦铨表示,蓝色小药丸是利用AMD处理器找出后门程式的核心,是一种虚拟机器的 Rootkit,对于监听、拦截、执行,偷资料有帮助;但从 Joanna Rutowska今年示范的 Vista 入侵手法看来,「第三方应用程式的弱点,将会是未来入侵 Vista 作业系统核心层的跳板。」Nanika说。
阿码科技首席资安研究员邱铭彰表示,对一些骇客而言,不能远端遥控并大量复制的手法,不算是好的入侵手法。蓝色小药丸手法只能在本机端执行,且必须在特定的条件下才能执行,缺乏可被大量复制的诱因,难以成为主流的入侵手法。
第三方应用程式的弱点,将会是未来 Vista作业系统中,最可能被用来攻击的漏洞。
Nanika
新加坡资安研究公司 Coseinc 在台湾的弱点研究员,全世界第一个发现 Adobe Reader漏洞的人
  评论这张
 
阅读(19)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017