Rootkit猎手陷入猫捉老鼠的游戏

没有任何恶意软件是不可发现的，虚拟rootkit也不例外。这是8月1日黑帽美国会议上发出的明确的信息。一个由知名的安全研究人员组成的小组主持召开了一个会议，介绍他们认为能够有效地发现虚拟化的rootkit的方法，如Joanna Rutkowska的著名的"蓝色药丸"或者Dino Dai Zovi的"Vitriol"。这些研究人员简要介绍了检测rootkit活动踪迹的许多技术，包括发现侧信道攻击、管理程序瑕疵和由恶意软件引起的错误等。

　　Root Labs主要分析师和这个会议的共同主持人Nate Lawson说，你基本上陷入了猫捉老鼠的游戏中。在这个游戏中，攻击者设计一些代码，你寻找那个代码的特征并且发现它，然后再在一个大圈子里重复所有这些事情。我们以前看到过这个东西，人们总是能找到对应的措施。我们预计这个事情将以同样的方式继续下去。

　　参加演示的人还有位于纽约的Matasano安全公司的Thomas Ptacek和赛门铁克公司的Dai Zovi和Peter Ferrie。他们讲话的重点是介绍"蓝色药丸"的属性和他们预测"蓝色药丸"在攻破的系统中的行为方式。波兰著名研究人员Rutkowska在2006年的黑帽会议上谈了这种管理程序rootkit。她的讲话引起了轩然大波。但是，她从那以后没有多谈"蓝色药丸"的确切性能和功能。她声称"蓝色药丸"是完全检测不到的说法受到了其他研究人员的批评。

　　Ptacek说，我们对揭露这个说法的真相非常感兴趣。

　　这些演示者对"蓝色药丸"的批评是它试图模仿一台x86机器的整个架构，而不是像常规的内核模式rootkit那样仅模仿操作系统的某一部分。Lawson说，这种野心勃勃的设计确实让"蓝色药丸"不可发现。因为它必须要模仿许多不同的组件，它肯定要在某个地方留下踪迹。

　　Lawson介绍的检测虚拟化rootkit的方法之一是观察翻译后援存储器(TLB)的变化，翻译后援存储器是CPU的一个缓存。当某些东西引起一个虚拟机退出的时候，这个管理程序就在TLB中留下了它出现的踪迹。因此，检测一个管理程序rootkit的方法就是引起它退出，然后读取TLB中的数据，寻找那里的变化。

　　但是，Lawson和Ptacek承认，没有办法阻止恶意软件作者编写检测"rootkit检测器"的功能。Lawson说，这就回到了人们熟悉的攻击者和防御者之间的猫捉老鼠的游戏。

　　Lawson说，你最后的结果是与我们所看到的杀毒引擎和病毒一样的圈子。我们在那里寻找你最新版本的代码，找到方法检测它，然后你写一个新版本的病毒，我们再从头开支。这个现实是没有绝对的游戏终点。恶意软件作者不可能写出100%检测不到的东西。我也不可能写出能够检测出所有恶意软件的检测器。

　　这个小组的研究人员还讨论了他们自己的检测软件的一些细节。这个检测软件名为"Samsara"，将在几个星期后发布。他们将免费提供这个工具的代码。他们还将为了测试制作一个基于硬件的原型rootkit。

　　这个rootkit会议原来打算进行现场演示。在这个演示中，Rutkowska向几台干净的Vista机器装载"蓝色药丸"。Ptacek和参加演示的同伴将向所有的电脑装载检测工具Samsara并且设法查出这个rootkit。但是，Rutkowska不愿意进行这种演示，而是坐到了观众席上。