第2章
Festi Rootkit：先进的垃圾邮件和DDoS僵尸网络

本章专门讨论发现的最先进的垃圾邮件和分布式拒绝服务（DDoS）僵尸网络之一—Win32/Festi僵尸网络，我们将其简称为Festi。Festi拥有强大的垃圾邮件发送和DDoS功能，以及有趣的Rootkit功能，这使得它可以连接到文件系统和系统注册表而不被人发现。Festi还通过使用调试器和沙箱规避技术来对抗动态分析，以隐藏自己的存在。

从更高层次来看，Festi有一个设计良好的模块化架构，这个架构完全在内核模式驱动程序中实现。当然，内核模式编程充满了危险：代码中的一个错误就可能导致系统崩溃而无法使用，这很可能会使用户重新安装系统来清除恶意软件。因此，发送垃圾邮件的恶意软件很少重度依赖于内核模式编程。Festi能够造成如此大的破坏，是因为其开发人员掌握了坚实的技术技能，并对Windows系统有深入理解。实际上，他们提出了几个有趣的架构决策，我们将在本章中介绍。