2.7　小结

你现在应该对Festi Rootkit是什么以及它可以做什么有一个完整的了解了。Festi是一个有趣的恶意软件，具有精心设计的架构和功能。该恶意软件的每一项技术都符合其设计原则：隐匿，并对自动化分析、监控系统和取证分析具有弹性。

从C&C服务器下载的易失性恶意插件不会在受感染机器的硬盘上留下任何痕迹。使用加密保护连接C&C服务器的网络通信协议，使得在网络流量中很难检测到Festi，而内核模式网络套接字的高级使用允许Festi绕过某些主机入侵预防系统（HIPS）和个人防火墙。

机器人通过实现Rootkit功能，在系统中隐藏其主模块和相应的注册表键，从而躲避安全软件。在Festi最受欢迎的时候，这些方法对安全软件是有效的，但它们也构成了它的一个主要缺陷—只针对32位系统。64位版本的Windows操作系统实现了现代安全功能，比如PatchGuard，这使得Festi的入侵武器变得无效。64位版本还要求内核模式驱动程序具有有效的数字签名，这显然不是恶意软件的一个简单选择。正如在第1章中提到的，恶意软件开发人员想出的解决方案是实现Bootkit技术，我们将在第二部分中详细介绍。