从卡巴7，8版本的功能改进方向，可看出Rootkit技术将是一个争斗焦点！

wlbol

个人感觉还得是操作系统把好用户权限关，感觉Vista就开了个好头，起码修改系统时间就得经过UAC这关……

[ 本帖最后由 wlbol 于 2007-9-5 18:02 编辑 ]

ALEXBLAIR

Rootkit可以写在数据流内，也可以通过驱动来屏蔽，另外，最近LIUNX上出现了写在硬盘磁迹间隙的Rootkit，所以，Rootkit得防御只能是检测已知的而以。
对于新的个人版本的私有Rootkit形式，如果不被当作样本分析过，估计永远不可能破解。
WINDOWS在Rootkit的防御上有先天的劣势，安全软件的Rootkit防御只不过是对比OS导出的列表和自己底层扫描的列表是否一致，如果不一致，多出来的就是Rootkit；或者加上某些已知Rootkit的解决方案。
总的来说，驱动级别的Rootkit防御还在于阻止其驱动的加载，这点上，不得不提老牌的TINY，单独的模块级调用防御是他的一大亮点，在Rootkit植入初期是个很好的功能。（可惜后来的同类HIPS很少看到，不得不说是个遗憾。）

bingren922

“写在硬盘磁迹间隙的Rootkit”
呃 能介绍介绍这个么

磁迹间隙指的是啥  硬盘上未被低格划分的那部分空间？

ALEXBLAIR

硬盘磁迹间隙就是通过比较奇怪的方式，直接驱动磁盘的磁头，写一些本来磁头不会读写的地方。
一般来说，两个分区之间，或者磁触点之间会有一个安全距离，防止磁迹之间相互磁化或避免由于触点分布过密降低读写效率和提高错误率。
os的i/o基本都是靠底层的驱动来解释和引导磁头运动的。
所以，简单的说，就是不按照规范的引导磁头运动，从而读写本来在安全距离内的数据位。
这样做隐蔽性很高，低格和高格都无法清理（那些操作不会越界。）
应该是新的磁盘隐藏技术的一个苗头。

flo

又是老文。
Unreal是个非常噱头的东西，其实原理上IceSword、Darkspy等都可以轻松搞定它，但是由于某些原因而没有显示出来。（比如IceSword自己的FileReg插件就可以看到它的ADS，但是此功能当时没有结合在主程序里）
DKOM也不是什么新想法，DKOM就是擦除痕迹的一种方法，而Anti-rootkit就是寻找它没有擦除干净的痕迹罢了。Darkspy内部的版本使用了很多其他的检测方法，稍微升级就可以搞定它了……

PS：Rootkit不常替换系统文件，这太容易检测了…… 早期的一些rootkit才会用。

[ 本帖最后由 flo 于 2007-9-6 19:53 编辑 ]

bingren922

原帖由 ALEXBLAIR 于 2007-9-6 18:54 发表
硬盘磁迹间隙就是通过比较奇怪的方式，直接驱动磁盘的磁头，写一些本来磁头不会读写的地方。
一般来说，两个分区之间，或者磁触点之间会有一个安全距离，防止磁迹之间相互磁化或避免由于触点分布过密降低读写效率和 ...

大概明白了
不过按我理解分区之间好像没有间隙 不过硬盘的实际容量于使用容量不同，比如假设单碟80G的硬盘，如果有120G的型号，就必有40G没有被低格划分

不过问题是，它总得先获得某一定程度的控制权啊，也就是说起码得先往正常分区里写正常性质的文件才能做到那些
总之如果有完整AD RD FD ND，有一定基础的人仍然可以防住不是么？


另外15楼所说ROOTKIT不替换系统文件了，那不是更容易被查出来么……

[ 本帖最后由 bingren922 于 2007-9-7 09:48 编辑 ]

ALEXBLAIR

如果能够找出系统的高危漏洞的话，就是常说的那些任意执行漏洞，
那么，植入并且绕过驱动层的HIPS是可行的。

当然，这点上WINDOWS比LIUNX优越，LIUNX的开源导致了上面我说的那种奇怪技术的RK被开发出来，WINDOWS上做到这点要难很多。

不过，真正植入后，完全可以无视OS版本。

凭什么启动一定要改文件或改注册表？
CIH可以改BIOS，
这点就很有启发。
VISTA的破解就用到了虚拟BIOS的方案，使得破解软件先于OS启动，这点一样可以用在木马启动上。