Bootkit ——卡巴斯基2008年的挑战

去氧麻黄素

我们经常在报告中用MalWare 2.0 这样的术语来称呼出现于2006年底的复杂恶意程序模型。最显著的例子，也就是MalWare 2.0的最初成员是：Bagle、Warezov和Zhelatin蠕虫。
        Malware 2.0 模型的恶意程序有以下特点：

• 受感染的计算机网络不受单一指令和网络控制中心控制
• 主动对抗病毒代码分析，并尝试控制僵尸网络
• 短期内通过大量邮件散播恶意代码
• 对社会工程学的有效利用
• 采用多样的传播方式进行传播，逐渐抛弃那些容易引起注意的传播方式（如电子邮件等）
• 使用多个模块（而非一个单独的模块），确保进行有效的恶意程序传播

        MalWare 2.0 的演化给杀毒软件行业带来了一系列的难题。我们认为最重要的影响是：传统的反病毒解决方案，即仅基于文件特征码或启发式分析的方法已经不能够有效的阻挡病毒的攻击。（这还没有涉及到如何修复受感染计算机的问题）
        我们认为，2008年涌现出的众多威胁都来自MalWare 2.0 ，其中 Rustock rootkit 的发展尤为值得注意。（Rustock 的详细信息参见：http://www.viruslist.com/en/analysis?pubid=204792011）。该恶意程序采用了一些新的技术手段，可能会对MalWare 2.0 的发展产生重要影响。
        本报告中谈及了一些最近发生的事件，并详尽的阐述了由病毒编写者和反病毒厂商所领导的现代战争艺术，同时也揭示了新保护技术的重要性。
奇怪的计算机重启事件        八月中旬，一些用户开始在互联网论坛中抱怨，说他们的计算机在访问过一些网站后会自动重启，但是造成计算机重启的原因却不清楚。在计算机的硬件和软件中没有发现会导致重启的常规原因。所以只剩下一种可能，那就是用户所访问的这些网站本身造成了计算机重启。
        而针对这些网站的初步调查显示这些网站是良性的，并无问题。多数情况下，恶意攻击者如果想要感染用户，一般会攻破一些正常网站，将指向包含漏洞攻击代码资源的链接放到这些网站上。该技术被称为“挂马”。drive-by download’; 当用户访问这些受感染的网站时，恶意代码就会在用户不知情并且未经用户允许的情况下安装到他的计算机上。然而，在这些站点上却没有发现任何可疑的iframe或脚本。
        还有一种可能是windows安装自身的更新程序后自动重启造成的。很巧合的是，该事件发生的时间段正是微软发布最新补丁的时间，所以极有可能是这个原因。但事实表明问题要比预期的严重的多。
        在后续的调查中，我们使用了一定数量的虚拟机去访问这些可疑的网站。不仅访问主页，而且还不断切换到不同页面并且点击上面的链接。一段时间后，这些测试计算机出现了重启现象。
        在对这些系统进行分析后，我们发现其引导扇区被更改了。这表明系统中存在bootkit。我们曾在2008年第一季度的报告中介绍过bootkit，并说明了它所使用的技术可能造成的问题 (viruslist.com)。然而自2008年3月以来，我们没有发现该bootkit的新变种。这是否表明bootkit又死灰复燃了？
替换链接        一旦可以确定是哪些网站和链接导致了用户计算机的重启，我们就能进行更仔细的分析。
        结果发现，恶意攻击者使用了一种相对原始（但并不是全新的）的方式注入到链接中。他们不会将自己的iframe或者脚本放到被攻破的网站上，因为这种修改很容易被检测并识破，而是将这些被攻破的网站上的合法链接替换成恶意链接。
        举例来说，合法链接应该是这样的： <a href="http://atm.n****.com"><B>atm.n****.com</B></a>
        而被替换成的恶意链接是这样的： <a href="http://***.com/cgi-bin/index.cgi?dx"><B> atm.n****.com</B></a>
        要想使一台计算机受感染，用户不仅要打开这些网站，而且还要点击已经被替换的链接。这种方式其实可以减少潜在受感染的用户，但效果并不明显——因为这些被替换的链接是恶意攻击者精心挑选并手动替换的。
        这些网站，例如***.com/cgi-bin/index.cgi?dx s第一次引起我们注意是在2008年6月初左右，我们收到来自网站所有者以及网站用户的投诉。投诉发现可信任的网站上出现了奇怪的链接。情况表明虽然域名资源很丰富，但这些恶意链接都寄宿在一些常见的网站上。而且互联网上有一定数量的“感染中心”。
        下表列出的是一小部分被我们检测到有问题的网站：

利用bootkit感染用户的服务器位置 (从左到右分别为：域名，服务器地址，服务器所在的子网，自治系统)

个性化的漏洞攻击        如果用户点击了一个被替换掉的链接会发生什么情况呢？服务器将对访问请求进行处理，获取到用户是从哪个网站链接到此处的，同时记录用户的IP地址、所使用的浏览器和浏览器安装的插件。利用这些信息，服务器将给该用户分配一个唯一的ID并储存在服务器上。
        恶意服务器给用户分配的典型ID如下所示： index.cgi@ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006
        ID最后面的数字表明该用户安装了 Acrobat Reader 6.0 版。
        然后恶意服务器会针对每个不同的用户，分别定制一套入侵方式。如果该用户安装了具有漏洞的Acrobat 软件版本，针对PDF的漏洞攻击代码（恶意程序）就会下载到该用户的计算机。如果安装了Real Player，针对该软件的漏洞攻击代码攻击代码就会被下载，以此类推。根据分配给不同用户的ID，恶意服务器会生成一个复杂的密码，用来加密相应的漏洞攻击代码。

例子：攻击代码加密过的漏洞攻击代码

        大多数情况下，下载的都是针对PDF、SWF 和 QuickTime 等文件的漏洞攻击代码。恶意攻击者利用的漏洞非常多，而且还在不断增加。最常被利用到的漏洞如下：

• CVE-2007-5659
• CVE-2006-0003
• CVE-2006-5820
• CVE-2007-5779
• CVE-2008-1472
• CVE-2007-0018
• CVE-2006-4777
• CVE-2006-3730
• CVE-2007-5779
• CVE-2008-0624
• CVE-2007-2222
• CVE-2006-0005
• CVE-2007-0015

        一旦针对特定用户的漏洞攻击代码创建成功，恶意程序就会通过漏洞程序在受害计算机上运行。运行时将下载一个木马释放器到用户计算机。该程序会使用该用户的唯一ID以及存储在恶意服务器上的服务器密匙进行活动。
        表面上看，一切都是无害的，也不会引起任何怀疑。一旦漏洞攻击代码开始运行，服务器将用户想要访问的网页真实地址返回，然后还会返回用户点击的替代链接。因此，用户的确是访问到了他想要的资源，却没有察觉其计算机已经被连接到了另一台服务器并受到感染。
        另外，如果用户再次点击被替换的链接，攻击代码不会重复运行 ，也不会再一次进行感染设备的尝试，用户会被立刻重新指向到合法的页面。这是因为恶意服务器已经记录了用户的访问数据，以保证每个ID不被重复入侵。
Neosploit 的死灰复燃        到底是使用什么方式生成了针对每个用户的个性化攻击代码呢？我们吃惊地发现，攻击者使用的是 Neosploit，一个我们以前遇到过并且认为已经销声匿迹的东西。
        Neosploit 攻击工具包从2007年夏天开始被人们所熟知，当时该工具曾经在黑市上以1000-3000美元的价格出售，是其他恶意工具如MPack和IcePack 的重要竞争对手。
        2008年底，有消息称Neosploit背后的网络犯罪集团——制造、发行并为Neosploit提供支持的犯罪集团已经解散。 (http://ddanchev.blogspot.com/200 ... it-underground.html) (http://blogs.zdnet.com/security/?p=1598)
        该集团的代表做出如下声明：
        “非常不幸，我们不能够再为Neosploit提供支持。由此造成的不便，我们深表歉意。但商场如战场，在此项目上，我们花费的时间与获取的利益极不相当。在过去的几个月里，我们竭力满足客户的需求，但现在我们不得不停止技术支持。我们陪大家走过了一年半的时间，希望曾对你们有所帮助。”
        通常情况下，这次的突然解散有两种可能，要么是遭执法部门介入调查，要么就是犯罪集团正在蓄谋进行重大的动作，以此为借口暂时消失，也为自己准备好犯罪不在场的证据。

Neosploit管理面板主窗口

        尽管它看起来很不显眼，但Neosploit管理界面的功能非常强大。

  
添加新用户到系统的对话框

能够用来生成攻击代码、创建并管理受感染计算机用户数据库等的Neosploit 管理面板是一个由C++语言编写的可执行文件，能够在Linux和FreeBSD系统上运行。

Neosploit 管理面板的内部

服务器上用于攻击代码加密功能的反汇编码

        Neosploit 被设计用来放到网站服务器上，并且能够以极快的速度安装和运行。但是使用Neosploit有一个严重的问题，即Neosploit是一款商业软件。主要问题是购买到的Neosploit版本只能允许一定数量的用户连接到它。就好像共享软件只能使用一定时间一样。
        Neosploit 所在的服务器每次试图感染一个用户或定制攻击时，都会连接到一个特定的服务器（在我们调查期间，该服务器位于乌克兰），该服务器可能会记录下Neosploit 试图感染计算机的连接数。Neosploit的作者可能会监视使用Neosploit的用户所感染的计算机数并依此来收费。所以如果连接未到达服务器，也就不可能被攻击，用户也就不会被感染。
Bootkit        一旦被载入系统，木马释放器就会通过程序漏洞运行，从自身解压出bootkit安装程序并将唯一的用户ID发送出去。接下来，Bootkit安装程序会修改引导扇区，将恶意程序的主体放到磁盘扇区上。
示例：磁盘引导扇区记录
CreateFileA("\\\\.\\RealHardDisk0", GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0)

示例：受感染的主引导扇区记录

        如果上述操作都成功地在被感染的系统上执行，木马释放器就会发送指令重启计算机。正在上网的用户们的计算机突然重启，这引起了他们的警觉，所以在网络论坛上公布出来寻求帮助，想搞清楚到底发生了什么事。
        而一旦计算机重启，bootkit就会引发一系列的系统功能，完全在系统上发作，同时还会隐藏自己，充当僵尸网络中的一个结点（bot）。

指令&控制中心的迁移        我们分析Neosploit 时发现它采用的攻击机制和技术很有趣，其中一些技术是独创的（例如链接替换、加密等），但大多数技术并不新鲜。我们以前也遇到过相关技术，但在2008年8月之前没有人利用此技术为iframeiframe进行攻击。
        而真正令我们吃惊的是在分析僵尸计算机工作过程中，我们发现僵尸网络的控制中心在不断的从一个域名转到另一个域名。根据我们的监测，控制中心每天会转移2-3次。比如早上，控制中心运行于aykfjgves.com域名上，中午时转移到了dmiafgves.com，而到晚上又跑到gfdpves.com。因此，就会造成组成僵尸网络的受感染计算机不得不重复寻找有效指令并连接网上活动的控制中心。
        这样的僵尸网络很难检测到，就是检测到，也很难将其打倒。恶意攻击者可以随时在几十个甚至上百个专用的域名间切换，这使得研究人员很难应付。即使僵尸网络的控制中心被定位，也很有可能在几个小时内转移到另一个域名。唯一的办法就是通过分析僵尸计算机在寻找新家时发送的网络数据包进行跟踪。毫无疑问，这种设计方式无非是想要阻止竞争对手窃取到这些僵尸网络，并且逃避反病毒厂商和执法机关的追捕。

示例：用来控制僵尸网络的服务器地址（从左到右依次为：域名，服务器IP地址，服务器所在的子网，自治系统）

        根据特殊的算法获得并注册域名，使得攻击者能够在很长一段时间内保证恶意程序的控制中心不断转移。攻击者注册了一系列的域名，位置包括美洲、非洲、亚洲和欧洲。虽然这些资料无疑都是假的，但这些注册账户数据中有明显的俄罗斯痕迹。他们尽量多地使用世界上各地的域名。控制中心能够在几分钟之内转移到新的服务器上，有效的防止被关闭，然而却不会影响其功能。

示例：使用的服务器的位置对应的控制中心IP域名：（从左到右依次为：域名，服务器IP地址，服务器所在的子网、自治系统）

        该技术同Fast-Flux使用的技术相似，Fast-Flux 技术经常被Zhelatin (风暴蠕虫)家族的恶意程序所使用。但Flast-Flux只是使恶意域名的IP地址不断变化变为可能，而这次的bootkit不仅能够变化IP地址，还能更改域名。控制中心包含一个可供自己使用的数据库，里面记载着已经注册好的域名。
示例：注册的域名

ccuuuag.biz	67.228.229.122	registered : 2008-08-07
ewwxbhdh.com	74.50.107.78	registered : 2008-08-07
paiuuag.com	208.73.210.32	registered : 2008-08-06
paiuuag.net	208.73.210.32	registered : 2008-08-06

        在感染的初期，漏洞攻击代码攻击代码开始运行，受害设备会下载一个配合控制中心工作的bootkit。一旦系统重启后，bootkit将全面运行，僵尸计算机就会尝试连接到控制中心。恶意程序会根据被感染计算机的唯一ID创建网络数据包，将该数据包发送到控制中心，而此时控制中心已经记录了被感染计算机的数据。

示例：发送的数据包

        如果不能连接到控制中心，该僵尸计算机会使用专用的算法依次生成 .com, .net, .biz 的域名，生成域名的数量取决于当时的日期和时间。然后后门程序会尝试将那些生成的特殊数据包作为授权密匙依次发送给上述域名。

示例：域名搜索

        一旦其中有一个域名“正确”(比如接受了该数据包并且返回了特有的数据包)，该僵尸计算机就会连接到该服务器成为僵尸网络中的一个客户端并以加密方式同控制中心通信。通常情况下，通信过程中还会下载一个额外的模块（一个DLL文件）到受害计算机。

间谍模块        从2008年初开始，很多业内专家就对这个僵尸网络进行了研究。但这些研究都局限于rootkit部分以及僵尸网络是如何运转，它的管理命令等内容。
        我们的主要任务是在撰写bootkit历史时，确保所有的问题阐述都是正确的。要做到这一点，我们必须搞清楚如此复杂的一个bootkit在系统中潜伏着到底要干什么？
        受感染的计算机连接到僵尸网络的控制中心后，会收到一个200KB以上大小的加密数据包。Bootkit解密此数据包后会释放一个DLL文件，用来将bookit加载到内存，而不会在磁盘上出现。
        这样，bootkit就能够保证DLL文件能够隐形加载，而传统的分析手段是检测不到的。大多数杀毒软件也检测不到。还记得Rustock是怎么做的吗？Rustcok同样加载DLL文件到内存，但同时在受感染机器的磁盘上也会有该文件。所以，bootkit要远远复杂的多。
        当然，仅仅将恶意代码载入内存意味着系统重启以后代码就会消失，系统恢复干净了（当然bootkit还存在）。但这些讨厌的“恶意程序”也有它应对的招数，当你启动系统后用杀毒软件扫描内存时，不会检测到任何可疑的问题，因为当时确实也没有恶意代码在运行，但一旦你连接到互联网，设备中的bootkit就会连接到控制中心，并将恶意的DLL文件再次加载到用户的计算机里。而这个DLL文件又能做什么呢？
        让我们回顾一下Sinowal（即我们划分bootkit的类别之一）的历史。2007年底，当bootkit刚出现时，bootkit这个名字已经被使用了。它指的是一种数量很大的用来窃取数据（主要是网上银行账户数据）的木马间谍程序。当时这些程序被命令为Trojan-Spy.Win32. Sinowal。
        分析此bootkit时，我们注意到它主体使用的混淆算法跟Trojan-Spy.Win32.Sinowal所使用的一致。所以我们认为这两个恶意程序的作者是同一个人。同时对DLL文件的初步分析也发现这两种恶意程序来自同一个源头。
        将DLL文件从受感染计算机分离出后，我们进行了研究，并得出肯定的结论，即此DLL文件具备同Trojan-Spy.Win32.Sinowal木马间谍程序相同的功能。
        所以，一旦僵尸网络获授权进入网络，用来窃取密码和拦截网络通信的DLL文件就会被下载到受害设备上。Sinowal可以称得上是一个万能的小偷。一旦它侵入系统，就会立即扫描系统内的应用程序，搜寻可盗用的密码。

反编译后的密码窃取模块

目标应用程序

Total Commander	Thunderbird	FlashFXP	SecureFX
Windows	The Bat	Trellian FTP	LeechFTP
Commander	Internet Explorer	Crystal FTP	e-Safekey
AK-Mail	Mozilla FireFox	Folder	Flash Player
Inetcomm	LeechFTP	FAR Manager	PuTTY
Outlook	FTPS	FTP Voyager	WinSCP
MSO	FireFtp	CuteFTP	SecureCRT

        这个用来窃取机密数据的模块所针对的大多数应用程序都是用于网站管理的。这对那些恶意用户至关重要，因为正是利用这些网站，恶意用户可以组织僵尸网络的指令和控制中心，或用来执行漏洞攻击密码。但对这些网络犯罪分子来说，最有价值的还是银行账户信息。

部分间谍模块窃取的网上银行的密码信息，整个列表包括大约300多个网上银行

        感染用户计算机的DLL文件会拦截所有的网络连接，检测用户对网上银行的连接，用户在上面输入的所有数据都会被发送到恶意用户指定的服务器上。
        间谍模块能够利用bootkit作为平台，发起“中间人”攻击 (简称MITM攻击(http://en.wikipedia.org/wiki/Man-in-the-middle_attack)，因为bootkit已经掌控了操作系统的所有资源。这使得间谍模块能够拦截所有经过浏览器的加密信息。
        该模块几乎拥有所有间谍程序的功能，包括常见的键盘输入数据拦截。当用户连接https站点时，间谍程序会在浏览器中额外开启一个窗口要求用户输入认证信息。用户往往会上当并输入个人信息，因为这样的窗口看起来很像是银行网站的。
间谍程序能够将用户重定向到钓鱼网站。所有收集到的数据都会以加密的形式上传到专属服务器。

示例：支持SSL连接的服务器将用户重定向到钓鱼网站（从左到右依次为：域名、服务器IP地址、服务器所在的子网、自治系统）

示例：窃取应用程序密码并发送到服务器（从左到右依次为：域名、服务器IP地址、服务器所在的子网、自治系统）

去氧麻黄素

恶意网络        当研究基于此的网络攻击方案时，应该谨记一点，这些bootkit网络的所有模块都是具有机动性的。通过控制域名服务器，恶意攻击者可以很容易地并且快速地改变漏洞攻击的位置、指令和管理界面、模块加载位置以及隐私数据收集位置。这使得该系统非常稳定，要更改网络部件甚至都无需更改bootkit和它的模块的配置。

  
Bootkit是如何同服务器互动的

感染范围        第一个bootkit同Rustock一样，出现于去年年底，Rustock是通过IframeBiz 群组资源传播的。而bootkit却以一种完全不同的方式粉墨登场，它的传播更倾向于技术性并且很大程度上归功于Rustock和Sinowal的传播。
        通过统计那些投诉计算机重启的用户数来估算该恶意程序的传播情况是不可取的。虽然通过僵尸网络的指令和控制中心的统计可以提供比较准确的数据，但我们却无法访问管理界面。虽然如此，我们还是能够总结出一些关于传播情况的数据。
        调查此次事件时，我们定位到五台用于下载漏洞攻击代码攻击代码的服务器。为了说明传播情况，我们给出以下数据：在24小时内，有超过200，000 名美国用户访问了该服务器。

  
访问两个被植入漏洞攻击代码的服务器的美国用户数量

        如前所述，用户控制僵尸网络的管理界面的地理位置根据一个特殊的算法在不断变化。当然，当其“转移阵地”的时候，并不是所有的僵尸计算机都能够连接到控制中心。
        下图所示为几个变换服务器中心，尖端部分代表僵尸计算机的连接数以及被感染的计算机数。很明显僵尸网络中的僵尸计算机几乎达到100,000，是一个相当高的数值了，而且这只包含美国用户的数量。

  
变换域名后来自美国用户的访问数量

  
连接到新的管理界面的原有域名上的美国用户数量

保护方法        bootkit的作者尽全力创建了一个具有自我保护性和机动性完好、无漏洞的程序包，并对每一个阶段的工作，包括怎样感染用户计算机到管理僵尸网络等环节都仔细地进行部署。他们希望不发生任何错误，甚至如何将iframe注入到网页的代码这些小细节他们都没有放过。
        尽管该bootkit的作者使用了如此复杂的技术，现代的反病毒产品仍然能够阻止这些恶意代码侵入系统。哪些措施能够在网络犯罪分子感染用户计算机的每一个阶段，对其进行有效的预防呢？
        网络犯罪分子使用的方法（即诱使用户访问恶意网址，并针对用户进行入侵）不仅仅用来感染尽量多的用户，而且还用来对抗当今的反病毒产品所使用的一些技术。
        采用替换链接的方式而不仅只是植入iframe，是用来防止传统的网页扫描，此类扫描要么是对可疑的iframe进行更严格的检查，要么完全将其阻止。考虑到被黑客植入恶意代码的合法网站达到几十个甚至上百个，我们针对此类入侵最好的防护方法是采用阻止已知恶意网站的技术。

访问被拒绝：卡巴斯基全功能安全软件2009对用户试图访问一个受感染网站时的提示

        虽然对每个不同用户的漏洞攻击代码是自动生成并且每次都不同，但其混淆加密机制是不变的。这就意味着利用反病毒软件特征码扫描或者启发式扫描是能够检测到这些恶意代码的。

  
检测到加密的漏洞攻击代码

        即便漏洞攻击代码仍然被下载到受害者的电脑上，只要用户能够定期的为他/她的操作系统和应用软件打补丁的话，该程序也无法运行。一个漏洞扫描器便能识别出更容易受到攻击的应用程序。

图为检测到Flash播放器组件中未修补的漏洞

Viruslist.com网站上的漏洞描述信息

        试想如果某个用户安装了一个有漏洞的应用程序，而且漏洞攻击代码已经开始在机器中运行，下载了大量的bootkit 释放器到受害者的机器：一旦这个可执行文件在每个用户的计算机上被创建，特征码检测将会变得更加困难。在这个阶段，反病毒产品所能使用的最有效最主动的保护方法就是能够对未知文件进行分析，确定其功能并通过启发式行为分析来分析其代码和行为，从而区分出那些恶意程序。

当一个可执行文件被启动的时候，卡巴斯基全功能安全软件2009便会对它进行分析...

…如果分析结果表明该文件中有潜在的威胁，该文件将无法启动

  
该文件具有较高的威胁等级，通过启发式检测为Heur.Backdoor.Generic

        如果用户的电脑在被感染的时候没有安装有效的反病毒解决方案，或是bootkit侵入系统的时间早于用户计算机操作系统和反病毒解决方案的启动时间，便会导致bootkit控制计算机重要的系统功能并且在被感染的设备中隐藏起来。
        而使用包括一个强大的反rootkit模块的反病毒程序，可以通过扫描系统内存检测出并清除恶意代码。

检测内存中的rootbit

        然后是引导扇区...

清除主引导扇区中的恶意代码

        最后结果——系统感染被清除

卡巴斯基全功能安全软件2009报告所有感染已被清除

结论        当初， bootkit对于病毒编写者来说是一个技术性的飞跃。现在， bootkit配备了更加强大的传播途径和功能，其中还包括部分僵尸网络功能。 强大的技术被加入到Rustock rootkit这个恶意程序中后，该程序便能够轻易地躲过病毒软件公司的监测，并阻碍其对文件的分析。bootkit还使用了一系列方法，以防止早期感染被检测到，并试图感染尽可能多的用户，而且还阻止僵尸网络被瓦解。
        上述这些方法的范例都具有高度的组织性并使用了高端的技术;它们利用了许多其他应用程序中的漏洞，将操作系统启动模式转化为Ring0, Ring3然后再次返回的模式; 为* nix操作系统创建的C++应用程序；加密的协议;在系统中授权僵尸计算机等各种方法。
        毫无疑问，研发这样一个系统需要几个月的时间，确保其顺利运行所进行的不断调试和机器的费用支出或开发出新的漏洞、域名、主机托管等系统的创建、规划、实施和支持是不可能仅仅由一两个人就能完成的。这需要几个有组织的网络犯罪组织密切合作共同创造的，每个组织负责各自不同的项目。
        Bootkit的发展史反映出了信息安全问题是如何影响广大的普通用户的。所有上述技术目前都被绝大多数恶意程序使用。
        浏览器作为一个感染病毒的载体、 rootkit技术、僵尸网络、盗窃用户数据、密码、反病毒解决方案的技术——我们在2008年第三季度都一一经历，而这些在bootkit技术中又全部体现出来了。
        有效地打击这种复杂威胁的唯一办法是使用广泛的反病毒技术：网络反病毒，网页流量过滤，行为分析器，沙盒，网络流量分析和防火墙。一个现代化的反病毒解决方案应该是不仅能够打击rootkit ，而且还能彻底消灭它的“亚种”，如bootkits 。

z110z110

没人，楼主我顶你！哈哈！

313865827

我也顶你楼主，不过太专业了，偶有点头疼啊。

dl123100

看过这篇文章的e文版

geyang925

呵呵,卡巴依旧精彩

l04zw

技术性太强了

awaysky

好专业

sexing

非常复杂,慢慢看

峰峰火火

这个应该是反病毒方面很专业、很尖端的研究报告把？ 顶一下。。。。大赞