安全研究员引发担忧一个数字版权管理功能在微软的Vista操作系统,他声称可能方便恶意代码作者阻止病毒程序删除他们的商品。
在反病毒研究人员这一病毒公告会议在蒙特利尔,加拿大,波兰公司的亚历山大·Czarnowski AVET信息和网络安全,说一个新的Vista功能,被称为“受保护的过程,”在Vista提供了数字版权管理功能,可以滥用保护rootkit和其他恶意代码。
一个受保护的过程是一种新型的构造与其他进程运行,或在多任务操作系统同时运行的程序的实例等窗口。标准过程受到操纵的“父”过程,或特权或管理用户创建过程,使它们受到篡改数字内容盗版的感兴趣。限制进入Windows Vista需要签署新的保护过程,并限制标准之间的相互作用和保护进程和线程(任务)由受保护的过程。例如,标准过程不能注入一个线程一个受保护的进程或访问一个受保护的过程中,所使用的虚拟内存根据微软。
这些限制都是很好的控制的分布和获得有价值的媒体内容,因为它们允许内容所有者在Vista运行媒体在一个受保护的状态,限制媒体的方式可以用来宽恕的内容或版权所有者。然而,保护过程可能会困扰病毒软件供应商,想分析变化由恶意软件,Czarnowski警告说。
“受保护的过程是不受其他应用程序,即使有管理权限,“Czarnowski说。
例如,Czarnowski推测,恶意软件能够控制保护的进程可以使用它们来修改内存地址和做其他修改,将看不见的病毒检测软件和其他工具在同一环境中运行。
保护进程创建一个底层架构PMP(保护媒体路径),一个安全的平台,显示与“溢价”媒体内容在Vista和长角牛,和防止盗版。
PMP,包括模块如PE(保护环境)和彪马(保护用户模式音频)包括用户模式和内核模式保护防止微软所说的“流氓软件组件”窃取内容。
“我不认为任何人在这个DRM种族思考的后果将这种能力在错误的手,“Czarnowski说。“受保护的过程是一个武器,与每一个武器,一切取决于你如何使用它。”
微软没有立即能够提供对本文置评,但该公司似乎意识到保护过程可能受到虐待。
公司文件“最佳实践”与保护流程提醒开发人员不要“试图绕过这个限制通过安装内核组件访问一个受保护的记忆过程中,“因为Vista和第三方产品依赖的事实“受保护的流程是签名的代码运行在一个包含环境”。
Czarnowski表示他不知道有任何努力操作保护过程。他的言论出现在尾端rootkit技术演示技术的病毒公报显示。
除此之外,Czarnowski预测,Vista的内核保护技术,PatchGuard,将成为一个主要的目标的恶意编码社区和逃避内核技术保护可能在一年内公开Vista的发布,也许更早。
Shane Coursen卡巴斯基实验室高级技术顾问说,内核driver-signing保护和保护已经被证明是容易受到操纵。
黑客的功效,如“蓝色药片”,努力规避Vista内核的保护开发和演示了乔安娜Rutkowska新加坡的电脑安全倡议咨询公司(COSEINC),仍在讨论中。这只是一个时间问题其他恶意代码作者的基础上的工作人员像Rutowska, Coursen说。
“根据以往的经验,这通常需要一年多对这些先进的技术出来被坏人利用。不幸的是,我们有一些东西已经和可能的时间表,”Coursen说。
这个故事,“Vista的DRM特性可能困扰杀毒”最初发表的信息世界 。