在“黑帽”(Black Hat)安全大会上,一面是微软演示Windows Vista是如何安全,另一面却是研究人员讲解如何黑掉这款新操作系统。
新加坡Coseinc公司的波兰研究员Joanna Rutkowska在黑帽大会上的演示表明,绕过Vista安全机制、执行原应被禁止的未签名代码是可能的。
微软在Vista中新增了一种安全机制,可以阻止未经签名的驱动程序运行在64位操作系统下,但Rutkowska发现了绕过这种安全防护的方法,而由于驱动程序具有很高的执行权限,因此如果隐藏恶意代码的话将严重威胁系统安全。
不过Rutkowska表示,这并不意味着Vista是完全危险的,而是不像微软宣传的那么安全而已,对系统内核施以百分之百的有效保护是异常困难甚至不可能的。Rutkowska也承认,为了发动攻击,必须在管理员模式下运行Vista,而这可能被微软的用户账户控制(UAC)机制阻挡。
作为第一款通过“安全开发生命周期(SDL)”进程开发的客户端操作系统,Vista拥有一套完善的安全防护机制,包括防火墙、标准模式运行、保护模式的IE、/NX支持、地址空间配置随机化(ASLR)、硬盘加密技术Bitlocker、信息认证技术InfoCard等等,一直被微软宣传为有史以来最安全的操作系统。
Rutkowska同时还演示了所谓“可100%隐身的恶意软件”。这种代号“Blue Pill”的恶意软件利用AMD的Pacifica虚拟技术,可以控制整个操作系统。Rutkowska特别强调说,由于她专注于AMD的虚拟化技术,因此很多人怀疑是Intel在背后提供了赞助,这种说法毫无根据。
微软的一名代表说,微软正在对Windows Vista进行最后的调试,将悉数提供所保证的安全技术,并与合作伙伴联合,调查如何阻止Blue Pill利用虚拟化技术发起攻击。
| 
