Black Hat：電腦有鬼，Rootkit議題大爆發

2009 / 08 / 03

編輯部

在這一次美國最大的黑帽駭客年會的主流議題上，分為隱私、基礎架構、法規管理、Rootkit、測試與攻擊、攻擊碼、Metasploit與論壇、硬體、逆向工程、雲端與虛擬化、行動安全，還有像是破解美國SSN社會安全碼的編碼預測方式等，也出現了爆炸性的人潮。其中值得注意的是各種Rootkit相關的議題，幾乎佔去三分之一的討論與場次，資安專家表示，以往會談一些殭屍網路、網路釣魚、資料隱碼入侵等，隨著資安防守的節節敗守到用戶端電腦，惡意程式的偵測和分析也就隨之變得熱門。

Rootkit的議題包含了各式各樣五花八門的類型，從不同的作業系統平台，不同的藏匿方式與深度，還有像.NET Framework Rootkits和Enterprise Java Rootkit這種隱藏於架構和程式元件中的方式，也有叫做Stoned Bootkit藏於磁碟開機記錄中的bootkit，開機時啟動，並且獨立於系統核心之外，成功地突破了以下防禦機制，系統核心更動的保護(kernel patch protection)、檔案的數位簽章、程式碼完整性檢查與資料執行預防(DEP)。而頗受關注的則是由Dino Dai Zovi所公佈在Mac OS作業系統中的Rootkit，利用Mach核心而取名為Machiavelli，可以遠端存取和控制被入侵的電腦。

當然有攻就有守，包含了已經申請專利的「硬體式」Rootkit偵測裝置，還有拆解Rootkit的偵測與鑑識方法，攻守之間還不知誰技高一籌，仍然有待分曉。

註：「資料執行預防」(DEP) 是一種安全性功能，可透過防止特定類型程式碼寫入可執行的記憶體空間，協助防止電腦遭到病毒及其他安全性威脅的損害。

black hat BlackHat Rootkit 資安專家美國SSN社會安全碼 DEP 資料執行預防殭屍網路網路釣魚資料隱碼入侵