Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Хакеры встраивают в злонамеренный код детекторы виртуальных машин
 
Обсуждение статьи Хакеры встраивают в злонамеренный код детекторы виртуальных машин
 
Ну и отлично. Скоро будем работать только на виртуалках. Там же вирусов нет?
 
Выделил тестовую машину (реальную) - залил готовый образ, закачал злонамеренное ПО, проверил, снес все нафик. И всего-то делов!
 
три образцА злонамеренного ПО были настоко корявие что отказались запуститься :)
 
Мерси за линк на доклад - безумно интересно было прочитать! :)
 
Цитата
Выделил тестовую машину (реальную) - залил готовый образ, закачал злонамеренное ПО, проверил, снес все нафик. И всего-то делов!

Это дольше, чем просто скопировал (или склонировал) образ виртуальной машины и начал тут же работать.
 
есть патчик для VMware, затрудняющий ее обнаружение - меняет Vendor Strings, MAC, отрубает backdoor port. Фсе. вирус сосет.
 
Цитата
есть патчик для VMware, затрудняющий ее обнаружение - меняет Vendor Strings, MAC, отрубает backdoor port. Фсе. вирус сосет.

не сосёт...варя меняет расположение регистра IDTr да и не тока варя.....если уж не разбираетесь лучше помолчать :)
 
>не сосёт...варя меняет расположение регистра IDTr да и не тока варя.....если уж не разбираетесь лучше помолчать

эксперт туев, иди броди нах! тут люди говорят , что хотят, эксперт нашёлся. Пингуй шлюз! недоделак!
 
Цитата
этоттам пишет:
есть патчик для VMware, затрудняющий ее обнаружение - меняет Vendor Strings, MAC, отрубает backdoor port. Фсе. вирус сосет.

...
       asm ("sidt %0" : "=m" (idtr));
       printf("idtr base at 0x%X\n",(int)idtr.base);

       if(idtr.base>>28!=0xC)
       {
               printf(" ==============================================\n"

                      "|  *** ALARM NAH  *** NASTY HONEYPOT DETECTED ***  |\n"
                      " ==============================================\n");
               exit(1);
       }
...

$ ./vmfsck
idtr base at 0xFFC18000
==============================================
|  *** ALARM NAH  *** NASTY HONEYPOT DETECTED ***    |
==============================================
$
 
Цитата
Гость пишет:
е сосёт...варя меняет расположение регистра IDTr да и не тока варя.....если уж не разбираетесь лучше помолчать

Цитата
r пишет:
... asm ("sidt %0" : "=m" (idtr)); printf("idtr base at 0x%X\n",(int)idtr.base);

if(idtr.base>>28!=0xC) { printf(" ==============================================\n"

"| *** ALARM NAH *** NASTY HONEYPOT DETECTED *** |\n" " ==============================================\n"); exit(1); } ...

а вы считаете расположение IDT достаточным признаком виртуалки? имхо, не катит .. как ОДИН из признаков да. не более, то что уважаемый r тут написал - не более чем алгоритм который довольствуется ТОЛЬКО IDT/GDT/LDT.
Вопрос на засыпку - а как вы гарантируете 100% надежность в присутствии IVT/SVM процессоров? там состояние процессора ПОЛНОСТЬЮ сохраняется, если посмотрите структуры поддержки VM-режима, описанные в мануалах.
пока  что прокаттывает. вместе с определением backdoor interface. и других признаков. Опять же - VMware Player поставляется в исходнкиах - что-то мешает его подшаманить и пересобрать? =)
 
Честно говоря все кто курочит ПО простых Россиян козлы !
Т.к. надо курочить ПО америкосов, надо ввести супер
тест чтоб зверь распознавал ху ис ху
 
Цитата
этоттам, 23.11.2006 11:21:11
есть патчик для VMware, затрудняющий ее обнаружение - меняет Vendor Strings, MAC, отрубает backdoor port. Фсе. вирус сосет.

И где этот патчик можно взять?
 
Цитата
этоттам пишет:
а вы считаете расположение IDT достаточным признаком виртуалки?
Достаточный признак vmware со всякими патчами :)
 
Цитата
Гость пишет:
И где этот патчик можно взять?
эээ .... не записывал урл, но если хотите - могу расшарить на slil.ru например? их есть у меня на винте .. по крайней мере вроде сливал. ;)
Цитата
r пишет:
Достаточный признак vmware со всякими патчами
не был бы так уверен ... а ну как в следующих версиях нашим драгоценным Гейтсу и Торвальдсу вздумается при каждой загрузке менять IDT-адрес? и не дай бог он попадет в те же address range что и VMwareшный - а? )) где гарантия? как ОДИН ИЗ признаков - возможно. Знаете, да, как Касперский и Dr.Web оценивают подозрительность софта по баллам? Вот так и тут - некошерный адрес IDT  - +1 балл =).
Опять же ... с поддержкой аппаратной виртуализации, сдается мне, этот признак исчезнет. И шо ви таки будете делать? )))
 
Цитата
Гость пишет:
И шо ви таки будете делать? )))
Ну в идеальном случае определить виртуализацию вообще невозможно - это теория, а на практике получается все несколько иначе...
 
Цитата
r пишет:
а на практике получается все несколько иначе
так на практике все и получается иначе сугубо благодаря BackdoorInterface-ам, и специфическим vendor strings/macs. о чем я и талдычу. уберите их, поставьте IVT/SVM и детектор заплутает. в ряде случаев такое поведение вполне оправдано -а то вирусы шибко умные пошли.
 
это не вирусы умные пошли, а пользователи тупые :)))))))))))))))) а про виртуализацию - так это уже давным-давно было, например VMware определялась через её собственный backdoor
XIII
 
Цитата
Вот так и тут - некошерный адрес IDT - +1 балл =).
А накуй вирю ломиться на неизвестную версию ос где даже неизвестно насколько он иам сработает?
Страницы: 1
Читают тему (гостей: 1)