微软对其64位版本的 Vista 操作系统进行了升级以防止操作系统内核加载未签名代码。上周我们报道过,Linchpin 实验室的 Atsiv 工具能够在 Vista 上加载未获得签名的遗留驱动程序,微软此举防止了类似事件的发生,它表示这个 Atsiv 工具与其内核模式代码签名(KMCS)策略相冲突。
微软安全架构师 Scott Field 表示,在64位的 Vista 中,默认的 KMCS 策略只运行那些带有有效代码签名证书并获得数字签名的代码加载到内核之中。通过在64位 Vista 上进行强制内核级驱动签名,微软希望能够阻止带有 rootkit 行为特性的恶意驱动程序的出现。
此外,微软的 Windows Defender 特征库也升级到8月2号,现在它也可以检测、拦截并清除最新版本的 Atsiv 驱动。目前 Linchpin 实验室并没有对此事作出评论,但预计它会相应的作出升级。