在加拿大蒙特利尔召开的一年一度的病毒公告大会上,与会的发病毒研究者中,来自波兰AVET Information and Network Security公司安全专家Aleksander Czarnowski称,Vista中提供数字版权管理功能的,被称为“受保护进程”的一项新特性,可能会出现滥用的情况,从而为rootkit和其他恶意代码提供保护。
据微软官方所称,受保护进程是一种新类型的进程,其加强了Windows Vista中对数字版权管理功能的支持。受保护进程和Windows Vista中的标准进程一同存在。Windows Vista中内置的限制条件要求新的保护进程被签名,并限制了标准进程和受保护进程以及受保护进程所创建的线程(任务)之间的通信。比如,标准进程不能向受保护进程插入一个线程,或者是访问受保护进程所使用的虚拟内存。
这些限制为控制有价值的媒体内容的分发和访问提供了很大的便利,因为它们允许内容所有者在Vista中以一个受保护状态运行媒体文件,从而限制了媒体文件只能以内容(或者版权)所有者所允许的方式使用。然而,Czarnowski警告道,受保护进程同样也扰乱了那些反病毒软件供应商,因为他们希望分析恶意软件所带来的改变。
“受保护进程与其他应用程序是隔离的,即使是拥有管理员特权。”Czarnowski说道。受保护进程为PMP(受保护媒体路径)创建了一个内在架构,这是一个在Vista和Longhorn上显示“优质”媒体工作的安全平台。
包含诸如PE(受保护环境)和PUMA(受保护用户模式音频)等的PMP,包含了用户模式和内核模式保护,以预防微软所称的“流氓软件组件”盗取内容。
“我并不认为在这场DRM赛跑中的所有人都会考虑误用该功能所导致的结果,”Czarnowski说道:“受保护进程就像是一把双刃剑,一切都取决于你如何去使用它。”
微软并没有立即对此发表任何评论,但是看起来该公司也担心受保护进程被滥用。
一份关于受保护进程“最佳实践”的公司文档警告开发者,不要“试图通过安装一个内核模式组件访问一个受保护进程的内存区域来绕过这个限制,”因为Vista和第三方产品依赖于这样一个事实:“受保护进程都是运行在包含环境中的验证签码。”
Czarnowski称,他并不知道任何操作受保护进程所带来的效果。他的意见是在病毒公告展示上的关于rootkit技术的一个技术会议的尾声阶段提出的。
另外,Czarnowski预言,Vista的内核保护技术PatchGuard将成为恶意代码社区的一个主要目标,并且逃避内核保护的技术将会在Vista发布之后的一年之内公布,亦或更快!
Kaspersky Labs的一名高级技术顾问Shane Coursen说,驱动签名保护和内核保护将被证明为遍存漏洞的。
像新加坡的COSEINC公司的Joanna Rutkowska公布的可以对付Vista安全保护的“蓝色药丸”(Bule Pill)仍然遭到安全业界的质疑。但是,Coursen说,这仅仅是一个时间问题,其他恶意代码作者也将会和Rutowska一样努力作出这方面的成果。
“基于以往的经验,通常这些先进技术面世并用于恶意目的仅仅是在一年之内。”Coursen最后说道。