第 4 劑：藍色小藥丸真能攻破 Vista？

Vista 對於核心層的保護，讓許多駭客入侵手法失效。但在 2006 年美國黑帽大會上，首度破功。

新加坡資安研究公司 Coseinc 的波蘭籍研究員 Joanna Rutowska，曾經展示藍色小藥丸 (Blue Pill) 手法，利用繞過 PatchGuard 的技術，成功入侵 Vista。不過，同一家公司在臺灣的弱點研究員 Nanika 則表示，目前這樣的手法還是傾向研究室裡的實驗手法，可複製性還不高。

Nanika 進一步表示，Joanna Rutowska 在 2006 年黑帽大會上展示的入侵手法，就是一種利用虛擬機器的入侵方式，處理器必須能支援虛擬化功能，當時是以 AMD 處理器做示範。

因為 Vista 有 PatchGuard，也需要驅動程式認證，所以，Joanna Rutowska 利用 Page File 的手法，交換記憶體存取，藉由讀取實體磁碟的記憶體，修改虛擬記憶體，植入後門程式。該手法出現後，微軟已經立即修補，目前正式版的 Vista 已經沒有這個問題了。

今年的黑帽大會上，Joanna Rutowska 則透過第三方驅動程式的漏洞，利用 Nvidia、ATI 等顯示卡驅動程式的漏洞，以虛擬化技術植入後門程式。Nanika 表示，有一些方法還是需要做第三方驅動程式認證檢查，必須是在 PatchGuard 及驅動程式認證被關掉的情況下，才可能繞過 PatchGuard 防止核心程式被篡改的機制。

Nanika 表示，藍色小藥丸手法，會遇到穩定性的問題，因為，這是屬於底層的後門，最怕不穩定而系統出現藍色畫面。他說，因為是一種利用虛擬機器的方式，所以處理器也必須能支援虛擬化功能。

中華電信數據分公司資安辦公室資安技術組組長李倫銓表示，藍色小藥丸是利用AMD 處理器找出後門程式的核心，是一種虛擬機器的 Rootkit，對於監聽、攔截、執行，偷資料有幫助；但從 Joanna Rutowska 今年示範的 Vista 入侵手法看來，「第三方應用程式的弱點，將會是未來入侵 Vista 作業系統核心層的跳板。」Nanika 說。

阿碼科技首席資安研究員邱銘彰表示，對一些駭客而言，不能遠端遙控並大量複製的手法，不算是好的入侵手法。藍色小藥丸手法只能在本機端執行，且必須在特定的條件下才能執行，缺乏可被大量複製的誘因，難以成為主流的入侵手法。

第三方應用程式的弱點，將會是未來 Vista 作業系統中，最可能被用來攻擊的漏洞。

Nanika
新加坡資安研究公司 Coseinc 在臺灣的弱點研究員，全世界第一個發現 Adobe Reader 漏洞的人

                                                                                                                     下一頁