最新的backtrack5(bt5)官方网站已经提供下载,backtrack5是基于ubuntu Lucid LTS. 内核2.6.38开发的,完全开源并和GPL兼容。

Backtrack 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 488|回复: 0

Windows内核bug阻止安全软件识别恶意软件

[复制链接]
能之卉
丙欣畅

简介


恶意软件开发人员能利用Windows内核中的一个编程错误阻止安全软件识别恶意模块是否在运行时已加载以及何时加载。

这个bug影响PsSetLoadImageNotifyRoutine。它是一些安全解决方案用于识别代码何时被加载到内核或用户空间的低层机制之一。问题在于攻击者能利用这个bug,导致PsSetLoadImageNotifyRoutine返回一个无效的模块名称,从而将恶意软件伪装成一个合法操作。


影响近17年发布的所有Windows版本


今年年初,来自enSilo公司的研究人员Omri Misgav在分析Windows内核代码时发现了这个问题。他指出这个bug影响自Windows 2000后发布的所有Windows版本。

Misgav开展的测试显示,最近推出的Windows 10也存在这个编程错误。

微软推出PsSetLoadImageNotifyRoutine通知机制的目的是从编程上通知app开发人员关于新注册驱动的信息。由于系统还能检测出PE镜像是何时加载到虚拟内存中的,因此该机制还集成杀毒软件以检测到某些恶意操作类型。


微软并不认为是安全问题


目前最大的问题就是,安全软件依靠这种方法来检测某些恶意操作类型。

Misgav通过邮件表示,“我们并不会测试任何一款具体的安全软件。我们了解到一些厂商使用这个机制,然而目前我们无法说明使用默认的PsSetLoadImageNotifyRoutine 信息是否会以及如何会影响到他们。”Misgav还指出在今年年初就曾联系MSRC(微软安全响应中心),但后者并不认为它是安全问题。他还表示,从网上找到的一些引用说明这个bug在某种程度上是已知的,但直到现在才说明了这个bug的根因和全部含义。

若需获知技术细节,请参见《PsSetLoadImageNotifyRoutine是如何运转的》以及该bug如何修改自己正常的且假定的行为。


参考来源:360代码卫士


+1
488°C
    沙发哦 ^ ^ 马上
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。它的名字引用自回溯法(backtracking)。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。BackTrack还支持Live CD和Live USB启动方式,用户可以直接从移动介质启动该系统而不用将系统安装在硬盘上。BackTrack被设计成一体化的旨在安全审计用的livecd,曾经它是被最广泛采用的渗透测试框架并被世界各地的安全社区所使用。现在,BackTrack已被Kali Linux所代替,BT将不再维护。
    快速回复 返回顶部 返回列表