Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進而達(dá)到隱藏信息的目的。 WindowsVista自身對惡意軟件的防護主要是通過驅(qū)動程序數(shù)字簽名、用戶訪問控制（UAC）和WindowsDefender來實現(xiàn)的，前兩者對Rootkit類惡意軟件的防御尤為重要。因為Rootkit的隱藏功能實現(xiàn)需要加載驅(qū)動，我們就先說說Vista的驅(qū)動程序加載管理：Vista驅(qū)動程序的安裝加載管理和原有的Windows版本相比有較大的改進，在Microsoft的設(shè)計中，Vista不允許加載沒有經(jīng)過數(shù)字簽名的驅(qū)動程序，而在之前的Windows2000、XP、2003系統(tǒng)上，系統(tǒng)雖然會在安裝未簽名或老版本驅(qū)動程序時會有提示，但安裝好之后是能夠加載的。 出于Microsoft意料之外的是，“有數(shù)字簽名的驅(qū)動程序才能被Vista所加載”這個設(shè)定對Rootkit類的防護作用并不是很大。去年的Blackhat會議上，曾有研究人員演示過在VistaX64Beta2版本上通過修改磁盤上頁面文件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序，雖然這個漏洞稍后被Microsoft補上，但已經(jīng)說明通過技術(shù)手段來突破Vista的驅(qū)動加載管理并非不可能。但要突破Vista驅(qū)動加載管理的更好途徑是在數(shù)字簽名本身上做功夫，之前曾有安全研究人員提到，Vista驅(qū)動程序的數(shù)字簽名申請的審核并不嚴(yán)格，只需要有合法的申請實體，并交納少許的申請費用即可。這樣，通過注冊或借用一個公司的名義，Rootkit作者完全可以從Microsoft拿到合法的驅(qū)動數(shù)字簽名，也就是說，很有可能會出現(xiàn)擁有Microsoft數(shù)字簽名的、“合法”的Rootkit程序。攻擊者還可以使用特殊的加載程序來加載沒經(jīng)數(shù)字簽名的程序，安全公司LinchpinLabs最近就發(fā)布了一個叫做Astiv的小工具，這個工具實現(xiàn)的原理就是使用經(jīng)過數(shù)字簽名的系統(tǒng)組件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序，而且用這種方式加載的驅(qū)動程序并不會出現(xiàn)在正常驅(qū)動程序列表中，更增強了加載目標(biāo)驅(qū)動程序的隱蔽。用戶訪問控制（UAC）是Vista防御惡意軟件的另外一個手段 在開啟了UAC的Vista系統(tǒng)上，用戶的權(quán)限相當(dāng)于被限制了的管理員權(quán)限，如果用戶程序要對系統(tǒng)盤及注冊表等地方進行修改的話，需要用戶進行交互的二次確認(rèn)。如果用戶拒絕或者是目標(biāo)程序比較特殊（比如木馬、后門等）不出現(xiàn)UAC提示，因為對系統(tǒng)目錄和注冊表的訪問被Vista所拒絕，除了極個別不寫入系統(tǒng)目錄的之外，大部分目標(biāo)程序是無法安裝成功的。Rootkit程序在UAC環(huán)境中同樣會因為權(quán)限問題而無法安裝成功，但很多情況下，攻擊者會使用社會工程學(xué)的方法來誘騙用戶信任攻擊者所提供的程序，并在UAC提示時選擇允許操作。 至此可以得出一個結(jié)論，由于WindowsVista從設(shè)計開始就很重視安全性，因此對它推出之前的Rootkit等惡意軟件的防御水平到達(dá)了一個新的高度，攻擊者單純靠技術(shù)手段攻擊的成功率已經(jīng)比在原先的Windows2000/XP/2003平臺上大為下降。但我們也應(yīng)該注意到，攻擊者會更多的使用社會工程手段，偽造和利用各種信任關(guān)系，欺騙用戶安裝惡意軟件。如何在Vista下對Rootkit類惡意程序進行防護？用戶可以參考以下幾點：1、保持Vista的系統(tǒng)補丁版本為最新。2、不在不可信的來源獲取軟件，并在安裝使用時留意系統(tǒng)的各種提示，尤其是有關(guān)數(shù)字簽名的提示。3、注意UAC的提示信息，及時攔截試圖修改系統(tǒng)的危險操作。4、使用反病毒軟件并保持病毒庫版本為最新，為防護惡意軟件多加一層保障。5、定期使用支持Vista的反Rootkit工具對系統(tǒng)進行掃描檢查。