'Onvindbare malware mogelijk op AMD x64-systeem'

Joanna Rutkowska, een Poolse security-onderzoekster die voor het Singaporese Coseinc werkt, heeft een proof-of-concept beschreven van een technologie waarmee het mogelijk is malware zodanig te verbergen dat deze zo goed als onmogelijk ontdekt kan worden. Om dit te bereiken wordt gebruikgemaakt van AMD's SVM-virtualisatietechnologie om een zeer kleine hypervisor te installeren. Hierna wordt het actieve besturingssysteem overgezet naar een virtuele machine die bovenop de hypervisor draait. Dit levert geen performanceverlies op en alle hardware blijft op dezelfde manier beschikbaar voor het actieve besturingssysteem. Doordat een en ander echter binnen een virtuele machine draait, kunnen via de hypervisor nieuwe machines worden toegevoegd die bijvoorbeeld voor malware-activiteiten zouden kunnen worden ingezet. Vanuit een virtuele machine is het vrijwel onmogelijk te bepalen of er bovenop een hypervisor gewerkt wordt en of meer virtuele machines actief zijn, wat ervoor zorgt dat dit proof-of-concept in theorie voor lastige problemen kan zorgen.

Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt. Zeker is dat dit totaal anders is dan de bekende rootkits die gebruikmaken van virtuele machines, zoals het door Microsoft Research ontwikkelde SubVirt. Die kit draait bijvoorbeeld alleen op x86-hardware en is daarom niet volledig virtueel, omdat binnen de x86-instructieset bepaalde commando's niet virtualiseerbaar zijn. Tijdens de presentatie in Singapore zal overigens ook worden ingegaan op een generieke methode om code in de kernel van Windows Vista x64 Beta 2 te injecteren. Daarmee zou de door Microsoft vereiste digitale ondertekening om code in de kernel te injecteren niet langer nodig zijn.

Onvindbare malware

Reacties (105)

Sjohnnie83 29 juni 2006 23:13

Zie niet in wat er valt te fixen aangezien dit een feature van de hardware is... En wij denken dat virtualisatie een systeem veiliger maakt! Ik vraag me trouwens af of dit proof of concept ook van toepassing is bij detechniek die Intel gebruikt voor virtualisatie?

Countess @Sjohnnie83 • 29 juni 2006 23:28

lijkt me gewoon een questie van op letten wat er met je bootsector gebeurt.
dat virtueele OS moet ergens staan namelijk, en moet een keer worden opgestart.

de bios bootsector protectie zou hier al afdoende bescherming tegen bieden, en een klein controle programa op bootable floppy/cd/usb stick zou dit ook makelijk kunnen detecteren.
valt dus allemaal wel mee.
virtualisatie kan je systeem wel degenlijk veiliger maken.

(p.s. the title van deze proof of consept ' blue-pill' is echt geniaal natuurlijk.)

TD-er

@Countess • 29 juni 2006 23:34

En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
Of mischien nog leuker, een BIOS-flash van je mainboard/netwerkkaart.
Kortom er zijn meer dingen mogelijk.
Welliswaar wat minder waarschijnlijk, omdat het zich dan minder snel zal kunnen verspreiden, maar zeker niet onmogelijk.

Daarnaast zijn er ook genoeg wormen en zo die diverse systeemfiles van Windows overschrijven, dus zo lastig zal het niet zijn.

Countess @TD-er • 30 juni 2006 01:12

En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.

maar dat is dus weer wel detecteerbaar vanaf het gevirtualizeerde OS, en dus te bestrijden met traditionele anti virus/spyware programams.

Anoniem: 92314 @TD-er • 30 juni 2006 11:13

En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.

bij mijn weten is grub read only, tenzij voor super user. aangezien hier de user een actie moet doen (super user psw ingeven) zal dit niet ongemerkt gebeuren.
helaas draaien op de meeste windows systemen de gebruikers standaard als admin, waardoor dit bij ntloader wel eens mogelijk is.
trouwens, als het in grub staat. is het te vinden. dus deze gebruikt een andere manier dan de boot loader.

SKiLLa @Countess • 30 juni 2006 00:04

Vergeet niet je Partitie-tabel, BIOS, Firmwares, en bv: x86 SMM-lek ( ironisch genoeg non-WinXP

) Er zijn veel 'patch-momenten'.

Afhankelijk van het wel of niet betrouwbaar kunnen detecteren van een hypervisor is SVM is dan juist het begin, of juist weer einde van de 'veiligheid'.

En een volledig virtualiseerbare instructieset kan zowel voor alswel tegen een 'Trusted-Chain' vanaf computer aan t/m OS running gebruikt worden. Als in: Domino-effect linksom of rechtsom

MBV @Countess • 29 juni 2006 23:35

heb bericht suggereert dat het tijdens runtime wordt geïnstalleerd (heb de bron niet bekeken). Dat zou een bug kunnen zijn.

Misschien vergelijkbaar met beveiliging van HDD's? BIOS moet daarbij ook een commando geven om de beveiliging uit te schakelen, als het dat niet geeft kan iemand anders er een wachtwoord op zetten. Oeps...

Countess @MBV • 30 juni 2006 01:16

en hoe vaak staat de bootsector-controle nu aan in de BIOS?

tja door dit bericht natuurlijk vanzelf een stuk vaker.

en bij de meeste bootsector bescherming krijg je meteen ene keuze menu te zien tegenwooridg waar je ja toestaan of nee weigering in kan vullen dus zo in de weg zit het nou ook niet.
als ze bij die bios keuze menu een goed text bij zetten dan denk ik dat we al een heel eind zijn.

en bedrijven zouden kunnen zeggen, we willen een optionneel menu maar we willen ook alle bootsector wijzigingen op voorhand kunnen weigeren als die optie aan staat in de bios.

TD-er

@MBV • 29 juni 2006 23:42

Het zal inderdaad niet meevallen om het in een trojan/virus te bakken die compleet ongemerkt je systeem aanvalt en aanpast, maar het lijkt me zeker niet onmogelijk.
Vaak zijn er delen ongebruikt (niet eens gepartitioneerd) op de schijf en hoe vaak staat de bootsector-controle nu aan in de BIOS?
Dat zit alleen maar in de weg voor de meeste gebruikers bij de installatie van je OS enzo.
Daarnaast zou je op veel meer manieren de boel in het bootproces kunnen proppen, ipv de bootsector aanpassen.

Anoniem: 126610 @MBV • 30 juni 2006 09:15

maak je geen illusies, het gros van de gebruikers komt NOOIT in de BIOS, ze weten meestal niet eens wat het is...

Countess @MBV • 30 juni 2006 09:49

misschien niet maar de meeste mensen hebben wel iemand die ze kennen die wel weet wat ze doen, en die kunnen dat binnen 2 minute voor ze instellen.

en ik kan me voorstellen dat PC fabricanten waar een preinstalled OS op staat standaard die optie aan zetten in de bios als het om PC's met virtualizatie technieken gaat.

en binnen bedrijven mag ik hopen dat ze ook mensen in dienst hebben die weten wat ze doen.

net als nu bijna iedereen een virus scanner en firewall heeft zal ook deze fix gemeen goed worden over een tijdje.

GENETX @MBV • 30 juni 2006 11:03

Daar kun je toch films kijken, zeker nieuwe versie van Windows Media Player

EDIT: reactie op Zaphod69

benoni @Sjohnnie83 • 30 juni 2006 02:11

Kun je dit gehele veiligheidsprobleem niet oplossen door juist gebruik te maken van het 'veiligheidslek'? Als je de SVM technologie gebruikt om het systeem altijd onder een hypervisor te starten, dan zijn de rollen ineens omgedraaid. Dan kan het voor een exploit wel lijken of ie het systeem over gaat nemen, maar in werkelijkheid zit ie opgesloten in een virtuele box en bepaalt de beheerder wat al of niet mogelijk is.
Zie ook de post van Ralph Smeets (iets verderop)

MBV @benoni • 30 juni 2006 11:00

Dat wil je niet. Hoe kan je anders 'windows-in-een-venster' krijgen als je Linux-distro het hoofd-systeem is? En wie wordt er dan hyper-visor?

TD-er

@Sjohnnie83 • 29 juni 2006 23:25

In principe kan deze techniek gebruikt worden op elk platform waarop een virtueel systeem kan draaien, zonder dat die virtualisatie op de hoogte moet zijn van een eventuele hypervisor.
Dus op het meerendeel van de huidige processoren zal dit nog niet zo'n gevaar vormen, maar op de processoren die bijv VT-techniek (of de AMD-variant) aan boord hebben kunnen dus meerdere besturingssystemen tegelijk naast elkaar draaien.

Op de "oudere" processoren zal een virtueel systeem dus moeten kunnen omgaan met een hypervisor.
Kijk maar eens naar de documentatie van XEN.
Dan heb je een Hypervisor (Dom0) en een of meerdere virtualisaties. (DomU)
Soort van VMware, maar dan in hardware.

John_Glenn @Sjohnnie83 • 30 juni 2006 02:20

Zal wat detail-aanpassingen vereisen om op Intel's VT te werken, maar in grote lijnen zal het hetzelfde zijn (aangezien VT in grote lijnen hetzelfde is als SVM).

Verder lijkt het me niet geheel onmogelijk dit te detecteren: zorg dat je een systeem draait dat zelf ook hypervisor-ondersteuning heeft (bijvoorbeeld iets van een Xen kernel). Als je dan geen toegang meer hebt tot de ring-0 functies (of hoe je dat ook noemt netjes) dan weet je dat je op een gevirtualiseerd platform draait.

Of denk ik nu te simpel?
[edit]Lol, het is zeker het tijdstip om op dit soort ideeen te komen...

[edit2]Hmmm, en als je nog een tiental posts verder omlaag scrollt zegt TD-er ook al zoiets...

Anoniem: 62763 @Sjohnnie83 • 30 juni 2006 09:15

Virtualisatie heeft geenszins te maken met een verbeterde beveiliging. Het enige waar het voor bedoeld is, is om een virtualisatie laag te presenteren die de software loskoppelt van de hardware.

De veiligheidsrisico's blijven hetzelfde als voorheen.
En toegegeven, de virtualisatie architectuur kan ook weer z'n eigen exploits bevatten.

Het enige wat virtualisatie niet betekent, is een bevorderde beveiliging.

-R-

hondeman 29 juni 2006 23:57

Geweldige foto van de code, trouwens!

PhoenixT @hondeman • 30 juni 2006 00:14

Idd, die afbeelding!

Greyh0und @hondeman • 30 juni 2006 00:22

eigenlijk hadden ze er iets moeten neer zetten zodat als je het selecteert het tevoorschijn komt

kozue @Greyh0und • 30 juni 2006 07:40

Nee, dan is het niet onvindbaar meer

GENETX @Greyh0und • 30 juni 2006 11:07

Sterker, selecteer het maar en ik zie een spatie (Malware)

bootchee 29 juni 2006 23:04

eerst zien dan geloven.

MBV @bootchee • 29 juni 2006 23:25

Enige probleem wat ik zie is dit doen zonder reboot. Verder is dit exact waar die virtualisatie voor is ontwikkeld: zorgen dat je als virtueel proces op een computer kan werken zonder het door te hebben.
Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan vind ik gekker dan het bestaan van Blue Pill, eerlijk gezegd.

Anoniem: 61096 @MBV • 30 juni 2006 00:58

Volgens mij is het niet de bedoeling dat je een hypervisor kan installeren zonder dat dit gemeld wordt aan de gebruiker. Dát is in weze hier het probleem.

Anoniem: 27915 @Anoniem: 61096 • 30 juni 2006 03:02

MBR virussen bestaan al veel langer dan vandaag. Code injecteren buiten het OS is dus geen probleem. En voor een virus is er geen enkel probleem om op een reboot te wachten, de meeste home users zullen dit toch wel om de zoveel tijd doen.

DivxLover @MBV • 30 juni 2006 08:47

@MBV

Enige probleem wat ik zie is dit doen zonder reboot.

The presentation will first present how to generically (i.e. not relaying on any implementation bug) insert arbitrary code into the latest Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. The presented attack does not require system reboot.
Bron: http://www.blackhat.com/h...6-speakers.html#Rutkowska

Zo, jouw probleem is ook weer opgelost

DexterBelgium @DivxLover • 30 juni 2006 09:14

Dat gaat over het ándere deel van de presentatie, namelijk de injectie van unsigned code in de kernel, niet over het runnen van het OS bovenop de hypervisor, want dat zie ik je toch echt niet zomaar zonder reboot doen hoor.

XplodingForce @MBV • 29 juni 2006 23:58

Mwah, gebruikers laten rebooten moet niet moeilijk zijn. Gewoon een melding van windows faken dat ie hersteld is van een "Critical ERROR" en dat de computer nu op nieuw opgestart moet worden om schade te voorkomen

Ja, dan ben je ook gek als gebruiker als je hem NIET opnieuw opstart...

J.J.J. Bokma @MBV • 30 juni 2006 02:26

"Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan"

Uhm, dacht je dat dit idee uniek was?

Blokker_1999

@J.J.J. Bokma • 30 juni 2006 05:51

Het idee bestaat al een tijd, maar dit is het eerste POC afaik.

Da_maniaC @bootchee • 29 juni 2006 23:14

Dude, hij heeft een proof-of-concept geschreven en het lijkt me dat die wel enigsinds bevestigd zijn voordat zo'n soort 'hoax' in een tweakers.net nieuwsbericht verschijnd.

martijnvanegdom @Da_maniaC • 29 juni 2006 23:18

Herstel.. ZIJ heeft een proof-of-concept geschreven

OpenMinded @martijnvanegdom • 30 juni 2006 14:10

that's my woman

(wishfull thinking)

martijnvanegdom @martijnvanegdom • 30 juni 2006 08:47

"Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt."

Nu jij even goed lezen... Z

s_xero @martijnvanegdom • 2 juli 2006 18:11

Is that's my bitch niet beter van toepassing

ik vind mal-ware-schrijvers nogal triest..laat ze lekker games maken ofzo

i-chat @Da_maniaC • 29 juni 2006 23:24

Dude ZIJ -

tis een chick

Anoniem: 135018 @i-chat • 30 juni 2006 02:11

Hier een echte foto !!!!
1
2
tis wel een chick

Glashelder

@i-chat • 30 juni 2006 00:10

hahaha lol een chick

http://www.go.art.pl/ranking/zdj/13837967.jpg
Zal dr wel niet zijn maargoed

GiLuX @i-chat • 30 juni 2006 12:16

rest mij nog 2 vragen,
is ze nog single?
en zo ja, wat is haar telefoon nummer?

Splorky @i-chat • 30 juni 2006 12:24

wat ouderwets zech, een telefoon nummer, weet je wel niet wat dat kost naar polen bellen ? , doe mij maar d'r msn adres

Anoniem: 135018 @i-chat • 30 juni 2006 13:53

Reactie verwijderd

Anoniem: 133254 @Da_maniaC • 29 juni 2006 23:50

Eh, waarom? Het is een aankondiging, het enige wat er in de schaal is gelegd totnutoe is de reputatie. Van iemand ik waar ik nog nooit van gehoord heb.
[Er zijn ook al bvb aankondigingen van XBoX360-hacks geweest op tweakers die achteraf ook niet gekomen zijn --- geen enkele nieuwsbron is feilloos.]

Dat gezegd zijnde, zie ik niet direct een reden tot twijfelen; ze heeft wel degelijk een baan en gaat naar de conferentie, dus het ingestuurde abstract van haar praatje zal wel juist zijn.

Chatslet @Anoniem: 133254 • 30 juni 2006 00:26

Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren? Ik heb begrepen dat Vista nu net zoals OS X is geworden en dat als er dus een ingrijpende wijziging wordt uitgevoerd dat er dan om de admin account gevraagt wordt ongeacht of de admin al in is gelogd.

@J.J.J. Bokma:
Wouw jij bent me daar toch eens 1337!
Maar kun je het ook in het Nederlands typen?

J.J.J. Bokma @Anoniem: 133254 • 30 juni 2006 02:25

"Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren?"

Fre33 P00rrn viewerrr!!1111oneoneeleven!!

Anoniem: 106923 @Anoniem: 133254 • 30 juni 2006 00:13

"Van iemand ik waar ik nog nooit van gehoord heb."

Dan mag je wel eens vaker op een blackhat komen... in het voorjaar heeft ze nog in het kras gestaan... (en ik blijf erbij, haar engels en presentatieskills zijn echt VER onder de maat... gelukkig heeft ze andere skills om te compenseren

)

SED @Anoniem: 133254 • 30 juni 2006 10:58

http://invisiblethings.org/about.html

Mermer @Da_maniaC • 30 juni 2006 03:54

ehm... enigzins.... PoC = enkelvoud -> is... verschijnt....
ABN = moeilijk

cuberob @bootchee • 29 juni 2006 23:05

dat zien dat kan dus niet

Anoniem: 76218 @cuberob • 29 juni 2006 23:06

Hey, ken jij dat "haha"? Bedankt om eigenhandig de mop te verneuken.

0siris @cuberob • 30 juni 2006 23:38

Toch zijn er op aarde heel veel mensen die geloven in iets dat je niet kan zien

Anoniem: 145279 29 juni 2006 23:14

Maar dit werkt dus alleen op een 64-Bit OS.

Ben ik dan bijvoorbeeld vatbaar hiervoor? Ik heb wel een 64 Bit CPU, maar draai een 32 bit OS.

Anoniem: 112442 @Anoniem: 145279 • 29 juni 2006 23:26

Je hebt hier een AM2 Athlon voor nodig, met pacifica. Dus geen Socket 754 of 939. Dus waarschijnlijk niet op jouw systeem.

Ik weet niet in hovere een 32 bits OS hier al dan nier gebruik van kan maken.

TD-er

@Anoniem: 112442 • 29 juni 2006 23:35

Intel CPU's met Vanderpool Technology zouden dit ook moeten kunnen.
De Intel 900-serie bijvoorbeeld.

TD-er

@TD-er • 29 juni 2006 23:48

Ik heb niet een proof-of-concept, maar het is met die VT-technologie gewoon mogelijk om elk OS te draaien in zo'n virtualisatie.
Met oudere processoren moet het OS wat in een virtuele machine draait op de hoogte zijn van zo'n hypervisor, maar wanneer je dus die VT-techniek in de processor hebt zitten, hoeft het OS dus niet op de hoogte te zijn van zo'n hypervisor en dan is het vrijwel onmogelijk om vanuit zo'n virtualisatie te zien dat je in een virtualisatie draait.
In feite is de enige manier om dat te kunnen zien, door te proberen zelf een hypervisor te starten. Dat gaat dan niet lukken.

Die VT-technologie lijkt heel erg op de i386-protected mode bit, wat gebruikt wordt om aan te geven of je op dat moment de kernel draait of een gewoon proces.
Het is gewoon een extra bit die aangeeft of je op dat moment als hypervisor draait of niet.

* TD-er heeft (samen met een paar anderen) een server draaien met daarop een dergelijke virtualisatie (XEN), zodat in geval van inbraak/rootkit-installatie het systeem in notime weer vanuit een image terug gezet kan worden.

@Pietje Puk:
Of het ongemerkt geinstalleerd zou kunnen worden, weet ik niet. Gezien hoe de meeste spyware of virussen op de systemen komen kun je dat echter al snel "ongemerkt" noemen.
De enige manier om het te kunnen detecteren is door te proberen zelf een hypervisor te starten. Als dat lukt weet je zeker dat die techniek nog niet draaide. Als dat niet lukt, weet je eigenlijk nog niets, want een hoop processoren ondersteunen die virtualisatie nog niet.

EaS @TD-er • 30 juni 2006 01:01

Van de 'onderzoekster' zelf:

'I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at the same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.

As to why I decided to choose AMD and not Intel - I followed the alphabetic order ;)'

Conclusie: Net zo hard mogelijk met Vanderpool.

Anoniem: 61096 @TD-er • 30 juni 2006 00:16

Het is de vraag of het met de intel technologie ook ongemerkt geinstalleerd kan worden en of het detecteerbaar is als het draait. Zonder goede kennis van de werking van de techniek is het onmogelijk om hier een zinnig antwoord op te geven. Dus inderdaad: Een suggestieve stelling

EaS @TD-er • 30 juni 2006 09:58

dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.

Correct. Maar so what?

it *seems* possible zal ze ook tegen zichzelf gezegd hebben, toen ze aan dit stukje 'proof-of-concept' begon op haar AMD systeem. En vervolgens 'I spent my time on doing this'.

Nu zegt ze weer it *seems* possible en begint ze aan haar stukje 'proof-of-concept' of een Intel systeem.

Vanderpool en Pacifica zijn zo goed als identiek, de uitkomst is mij dus al bekend

. Als deze dame er maar genoeg tijd aan besteed lukt het haar ook met Vanderpool.

Anoniem: 63390 @TD-er • 29 juni 2006 23:40

geheel sugestief, of heb jij een proof-of-concept?

Anoniem: 126610 @TD-er • 30 juni 2006 09:21

dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.

"....it seems...."

n-i-x @Anoniem: 112442 • 29 juni 2006 23:32

Het lijkt me sterk dat virualisatie alleen werkt met een 64 bit OS, dus waarschijnlijk is zoiets ook te maken voor een 32 bit OS.

Maar als ik me niet vergis dan heeft intel ook virtualisatie op de planning staan(of hebben ze het al in de cpu's verwerkt), dus dit lijkt me geen AMD-only probleem.

hwh @Anoniem: 145279 • 30 juni 2006 10:23

Volgens mij is het proof of concept voor een x64 systeem,

maar met bijvoorbeeld een VT-enabled Intel processor en met Xen 3.0 kan je Windows XP gewoon gevirtualiseerd draaien.

Ik geloof er eigenlijk weinig van dat x86 niet volledig virtualiseerbaar is.

Bovendien is virtualisatie naar mijn mening de beste manier om beveiligingen zoals DRM te omzeilen: draai je DRM-enabled OS gevirtualiseerd zonder dat deze daarvan op de hoogte is, en lees in je hypervisor de ongecodeerde geheugenstukken uit die corresponderen met de gegevens die je wilt hebben.

De vraag is? Wat doet virtualisatie technologie met een TPM module? wordt die ook gevirtualiseerd?

RedLizard @hwh • 30 juni 2006 23:43

x86 is prima virtualiseerbaar, maar dan zul je het in software moeten doen. De x64 heeft er hardware ondersteuning voor, zodat het makkelijker te coden is, en je veel minder tot geen performance verliest aan overhead.

gabiballetje @Anoniem: 145279 • 29 juni 2006 23:22

Als de benodigheden zijn een 64 bit cpu en OSen je hebt een 32-bit OS, nee dus.........

TD-er

@gabiballetje • 29 juni 2006 23:30

Dan heb je het niet begrepen.
Als je processor in de hardware ondersteuning biedt voor een dergelijke virtualisatie, dan kan je in een virtuele instantie dus elk OS draaien, wat ook normaal gesproken op je processor kan draaien.

De virussen/trojans zullen dan echter wel een stuk complexer moeten worden, omdat ze ook een soort OS mee moeten installeren in een andere virtuele machine.

Om dan een beetje "besmettelijk" te kunnen zijn, zal je dus ofwel flink wat hardware support moeten inbouwen, of op een of andere manier de virtuele installatie van je windows of linux moeten kunnen infecteren.
Dan kun je bezig blijven om de boel te verwijderen, maar dan krijg je het niet goed weg, totdat je die hypervisor weg haalt.

Anoniem: 147126 29 juni 2006 23:31

Zulke software zal toch ergens op je harde schijf moeten staan. Lijkt me niet geheel onopspoorbaar dus...

edit:
@TD-er: Zou het dan niet mogelijk zijn om dan met een soort unattended cd een 'virusscan' te doen?

TD-er

@Anoniem: 147126 • 29 juni 2006 23:37

Wel als je virtuele systeem, waarin je werkt, die sectoren niet eens ziet. Dan kan je echt lang zoeken.
Pas wanneer je het zou bekijken op een niet-geinfecteerd systeem, dan zou je het kunnen zien/vinden.

@TheShadow:
Als je zekerheid hebt dat je virtualisatie op geen enkele manier gestart wordt voordat je boot vanaf je live-CD (bijvoorbeeld Knoppix of BartPE), dan kun je het ook in het geinfecteerde systeem detecteren.
Maar hoeveel van de gebruikers die last van een virus oid. hebben, booten op die manier?

Jefrey Lijffijt @TD-er • 30 juni 2006 10:03

Op het moment dat een dergelijk 'virus' je computer probeert te veranderen kun je het dus herkennen.
De meeste reacties hier zijn erop gebaseerd dat je het niet ziet als het geinstalleerd is en je pc inderdaad draait via die virtualisatie.
De bestrijding moet dus ook niet achteraf maar aan de deur plaats vinden, om te voorkomen dat zo'n VM geinstalleerd kan worden.

Anoniem: 146814 30 juni 2006 00:18

Ik heb de oplossing!!
Een TPM chippie op je moederbord die alle niet-microsoft (micro)kernels uitsluit!

*rent voor leven*

Greyh0und @Anoniem: 146814 • 30 juni 2006 00:23

leuk voor alle *nix gebruikers

TD-er

@Greyh0und • 30 juni 2006 00:34

Och dan draai je die toch in een virtualisatie

Ralph Smeets 29 juni 2006 23:59

Volgens mij moet dit dus ook mogelijk zijn met een Intel processor met Intel Virtualisation Technology. Het princiepe is immers hetzelfde, waarbij er ook gebruik gemaakt wordt van een hypervisor waarin het besturingssysteem virtueel draait.

Intel promoot deze aanpak zelfs met het aan te komen vPro-platform waarbij de het besturingssysteem, de firewall en de virusscanner elk in hun eigen virtuele omgeving draait. Vervang de hypervisor door mallware en je hebt precies dezelfde situatie als nu wordt voorgesteld.

flippy 30 juni 2006 00:00

blue pill, beetje teveel matrix zitten kijken maar wel leuk gevonden.

ontopic: dit is natuurlijk erg slecht nieuws. (of heel goed als je coolwebseartch heet)

is eht niet mogelijk om met dezelfde techniek virturele pc's te maken die ook eens een videokaart goed aan kunnen spreken?, zou wel fijn zijn dat je eens een "echte" vpc zou kunnen draaien in windows.

joop99 30 juni 2006 07:24

Als ik het verhaal lees dan berust het voornamelijk op het gebruik van de virtualisatie techniek en heeft het eigenlijk niets te maken met het gebruik van een intel, AMD CPU, 32 of 64 bit cpu

mta 30 juni 2006 09:03

Briljante illustratie bij dit artikel, eerste reactie "hé, het plaatje mist", geniaal simpel.

Op dit item kan niet meer gereageerd worden.

'Onvindbare malware mogelijk op AMD x64-systeem'

Lees meer

Reacties (105)

Sorteer op:

Weergave: