這種模仿軟件虛擬機形式的惡意rootkit軟件能夠被檢測出來嗎？當安全研究員在黑客大會上提出他們的最新發(fā)現(xiàn)時，討論者人頭攢動。
Invisible Things公司的研究員Joanna Rutkowska在去年的黑客大會上描述和證明了她研發(fā)的rootkit工具Blue Pill，正是這一舉動使其一夜成名，并引發(fā)了大家對虛擬rootkit技術極大的興趣。禮拜三，Rutkowska來到黑客大會承認研究員Edgar Barbosa針對Blue Pill的檢測方法是目前為止最成功的。她和她的同事，研究員Alexander Tereshkin在經(jīng)過一番高難度的滲透試驗后說，“恭喜你，Edgar”，并稱她和她的同事尚未找到繞過這種檢測方法的途徑，Edgar的這種檢測方法叫作“反基于”檢測，Edgar在7月份SyScan會議上一篇論文中詳細介紹了該檢測方法。Rutkowska同時還說她已經(jīng)將Blue Pill的代碼放在了互聯(lián)網(wǎng)上，可共公眾下載。并建立了一個Blue Pill項目，Blue Pill自從去年公布以來已經(jīng)出現(xiàn)了很多變種，包括一種叫超級監(jiān)視巢，其潛藏一個虛擬機惡意軟件并筑巢在另一個虛擬機惡意軟件。Rutkowska說“現(xiàn)在可以自由地上傳自己的Blue Pill了”。
在另一方面，Rutkowska之前還發(fā)現(xiàn)了微軟的代碼簽名安全漏洞，代碼簽名是一種利用微軟授權簽名證書的內(nèi)核保護技術，Rutkowska去年就發(fā)展示了一種利用該漏洞進行攻擊的例子，其允許攻擊者在64位的Vista上上傳惡意軟件，在幾個月后微軟已經(jīng)通過修改相應API修補了該漏洞。然而，在禮拜三，Rutkowska稱她和同事Tereshkin又發(fā)現(xiàn)了一個Vista上關于第三方驅動的內(nèi)核防護漏洞，該漏洞也是關于數(shù)字簽名的，很明顯的漏洞。同時Rutkowska提醒注意說對于獲取微軟授權的數(shù)字簽名證書來說太簡單了，花250美元就可以一站式完成。微軟對此沒有立即做出回應。
早先在黑客大會上一篇名為“不要告訴Joanna，虛擬Rootkit已經(jīng)死了”的討論會上，Matasano公司的安全研究員Thomas Ptacek、Root實驗室的Nate Lawson和賽門鐵克公司的Peter Ferrie三人描述了如何通過三種技術方案找到檢測虛擬機型惡意軟件的途徑，他們使用的這三種技術分別是旁路攻擊、優(yōu)點攻擊和性能事件計數(shù)。
然而，Ptacek說最后研究重點放在了檢測虛擬惡意軟件Vitriol上，該軟件是由研究員Dino Dai針對VMware開發(fā)的。這是因為Vitriol是僅有的幾個虛擬惡意軟件樣本之一，之前Rutkowska拒絕公開Blue Pill的代碼。三位研究員表示他們會將研究成果公布于眾，并會在最近幾天發(fā)布一個檢測虛擬惡意代碼的框架軟件，稱為Samsara。