据外媒 8 月 31 日报道，维基解密（ Wikileaks ）近期最新曝光一批 Vault7 文档，旨在揭露美国中央情报局（ CIA ）使用黑客工具 AngelFire 感染 Windows 计算机操作系统。 [出自:jiwo.org]

AngelFire 是一款恶意软件，主要通过修改 Windows 计算机上的分区引导扇区后植入持久性后门程序。不过，根据维基解密泄露的 CIA 用户手册得知，AngelFire 仅在获取目标系统的管理权限后才能下载安装。调查显示，黑客工具 AngelFire 主要包括以下五大组件：

1、Solartime：该组件主要在目标系统启动时，修改分区引导扇区以加载运行 Wolfcreek（内核代码）。

2、 Wolfcreek：它是一款自加载驱动程序（ Solartime 执行的内核代码 ），主要用于加载其他驱动与用户模式应用。

3、Keystone：该组件利用了 DLL 注入技术将恶意应用直接植入系统内存，而并非文件系统。它是 Wolfcreek 植入内容的一部分，其主要负责启动恶意应用程序。

4、BadMFS：它是一款被用作 Wolfcreek 开启驱动与植入程序的储存库 ，其主要在活动分区（或更高版本的磁盘文件）末尾创建隐藏文件系统。另外，所有文件都将被加密与混淆，以避免字符串扫描。

5、Windows Transitory File system：允许 CIA 黑客为特定操作创建临时文件，而并非将其存储在隐藏磁盘中。

研究人员表示，目前 32 位的 AngelFire 工具影响主要影响 Windows XP 与 Windows 7，而 64 位的工具则会影响 Server 2008 R2 与 Windows 7 系统。