不要因为虚拟化恶意软件而熬夜

　　这里有一些不是清晰、有说服力而快速的：即虚拟化恶意软件的威胁。什么是虚拟化恶意软件呢？它就是特洛伊木马rootkit软件，可以利用管理程序技术将其隐藏于受感染的操作系统“之上”。虚拟化恶意软件的严酷现实就是无法检测到rootkits 和botnets。

　　任何谨慎地遵循安全规则的人可能都已经听说了虚拟化rootkits。正如一个新的故事，它自己表述到：虚拟化现在很流行，而安全攻击总是可以获得大量的关注。但是，在现实的世界中，虚拟化rootkits的问题有多少呢？其问题并不是很多；一般在现实中并不能看到它们。

　　这样，为什么我们没有看到新一轮的恶意软件利用了虚拟化性能呢？开发概念验证rootkits的研究人员可能会辩解：这是由于我们并没有查找它们，或者是否可以采用当前的工具找到它们的。但是这可能并非事实。

　　去年，作者与Root Labs的Nate Lawson、以及Symantec的Peter Ferrie，合作开发了监测虚拟化rootkits的技术。我们发现了如此多的方法可以采用，以至于我们怀疑追击“无法监测”的虚拟化rootkits是否是最佳策略。该小组的主要研究发现是：在隐藏自己，使得应用程序无法找到方面，虚拟化的确做得非常好，并且这足以保证程序正常运行以及硬件驱动器持续工作。但是当你仔细观察时，非法的管理程序留下了警告的信号，这种信号很难隐藏。

　　并非都是好消息。Rootkit威胁真正存在；它仅仅更可能在应用程序层产生威胁。只有少数几种虚拟化平台可供rootkit隐藏；我们可以监测那些平台。但是，有好几万应用程序，每种都可以隐藏backdoors和rootkits。毫无疑问，在虚拟化时代，企业需要保持警惕。