Интернет магазин китайских планшетных компьютеров



Компьютеры - Blue Pill

04 мая 2011


Оглавление:
1. Blue Pill
2. Происхождение названия



Blue Pill — кодовое имя класса руткитов, основанных на использовании аппаратной виртуализации. Первоначально программа Blue Pill требовала поддержки процессором виртуализации AMD-V, но в дальнейшем в программу была добавлена так же и поддержка Intel VT-x. Разработана Йоанной Рутковской и впервые была публично продемонстрирована на конференции Black Hat Briefings 3 августа 2006 года в виде образца реализации для ядра Microsoft Windows Vista.

Обзор

Концепция Blue Pill заключается в захвате запущенного экземпляра операционной системы «тонким» гипервизором и виртуализацией им остальной части компьютера. Предыдущая операционная система будет все еще поддерживать существующие в ней ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время будут перехватываться гипервизором, который будет отсылать фальшивые ответы.

Йоанна Рутковская утверждает, что поскольку любая программа обнаружения может быть обманута гипервизором, то такая система будет «100 % необнаруживаемой». Поскольку виртуализация от AMD была спроектирована как целостная система, то предполагается, что виртуализируемый гость не сможет определить, гость он или нет. Таким образом, единственной возможностью обнаружить Blue Pill является определение того факта, что виртуализированная реализация функционирует не так, как положено.

Эта оценка, повторенная в многочисленных журнальных статьях, вызвала множество споров, тем более, что AMD выпустила опровержение полной необнаруживаемости. Некоторые другие исследователи в области безопасности, а также журналисты, также отвергают концепцию невозможности. Виртуализация может быть обнаружена при атаке по времени, основанной на внешних источниках времени.

В 2007 году группа исследователей под руководством Томаса Птацека из компании Matasano Security на проходящей тогда конференции Black Hat бросили вызов Рутковской, предложив ей протестировать ее Blue Pill при помощи их программы обнаружения руткитов, но в ответ Рутковская запросила 384 тыс. $ за участие в подобном соревновании, поэтому эта сделка так и не состоялась. Рутковская и Александр Терешкин объявили подобные заявления инсинуацией в последующей речи на Black Hat, аргументировав это тем, что заявленные методы обнаружения слишком неточны.



Просмотров: 1846


<<< Хронология компьютерных вирусов и червей
Международная версия игры >>>