Intel en Symantec weken antivirusprogramma los van OS

Intel en Symantec zijn gezamenlijk bezig met de ontwikkeling van een beveiligingsproduct. Nieuw hieraan is dat ze gebruikmaken van de virtualisatiefunctionaliteit, die in steeds meer cpu's is terug te vinden.

The Hood uit ThunderbirdsDe samenwerking, die de codenaam 'Project Hood' heeft meegekregen, is onderdeel van de inspanningen van de twee bedrijven om hardwarematige virtualisatie breder in te zetten. In plaats van het ontwikkelen van software voor een specifiek besturingssysteem, bouwen Intel en Symantec een product dat direct kan communiceren met Virtualisation Technology-hardware. Daardoor kan deze applicatie onder en naast het besturingssysteem werken en draait het niet in het OS, zoals traditionele virusscanners dat wel doen.

Deze virtualisatiefunctionaliteit zal in eerste instantie alleen ingezet worden in servers en krachtige workstations. In de toekomst zal de techniek echter ook zijn weg vinden naar mainstream-computersystemen.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 17-08-2007 14:02 58

17-08-2007 • 14:02

58

Bron: X-bit Labs

Lees meer

Eerste bèta van beveiligd 'virtualisatie-OS' Qubes uitgebracht
Eerste bèta van beveiligd 'virtualisatie-OS' Qubes uitgebracht Nieuws van 12 april 2011
Geen winnaar in uitgebreide virusscannertest
Geen winnaar in uitgebreide virusscannertest Nieuws van 29 januari 2008
Virus aangetroffen op externe Maxtor-hardeschijven - Update
Virus aangetroffen op externe Maxtor-hardeschijven - Update Nieuws van 19 september 2007
Medion notebooks verkocht met virus
Medion notebooks verkocht met virus Nieuws van 14 september 2007
Symantec gaat browsers beschermen tegen nog te verschijnen malware
Symantec gaat browsers beschermen tegen nog te verschijnen malware Nieuws van 30 augustus 2007
Symantecs virtualisatieschil uitgesteld door Windows-licentieperikelen
Symantecs virtualisatieschil uitgesteld door Windows-licentieperikelen Nieuws van 24 augustus 2007
ClamAV overgenomen door Snort-ontwikkelaars
ClamAV overgenomen door Snort-ontwikkelaars Nieuws van 18 augustus 2007
IBM maakt virtualisatie speerpunt van AIX 6
IBM maakt virtualisatie speerpunt van AIX 6 Nieuws van 17 juli 2007
Microsoft rolt tweede service pack SQL Server 2005 uit
Microsoft rolt tweede service pack SQL Server 2005 uit Nieuws van 21 februari 2007
Intel werkt aan integratie ddr3- en fdb2-controllers
Intel werkt aan integratie ddr3- en fdb2-controllers Nieuws van 2 februari 2007
'OpenSolaris beschikbaar onder cddl- en gpl-licentie'
'OpenSolaris beschikbaar onder cddl- en gpl-licentie' Nieuws van 17 januari 2007
Gartner: 'Vista is laatste versie Windows'
Gartner: 'Vista is laatste versie Windows' Nieuws van 14 december 2006
MS vindt virtualisatie nog niet geschikt voor consumenten
MS vindt virtualisatie nog niet geschikt voor consumenten Nieuws van 25 november 2006
Dell koopt dienstenbedrijf voor vlotte overgang naar Vista
Dell koopt dienstenbedrijf voor vlotte overgang naar Vista Nieuws van 15 november 2006
Vista nu ook bestand tegen 'Black Hat'-hack
Vista nu ook bestand tegen 'Black Hat'-hack Nieuws van 21 oktober 2006
Intel vPro beschikbaar vanaf begin september
Intel vPro beschikbaar vanaf begin september Nieuws van 10 augustus 2006
Vista 'gehackt' tijdens Blackhat
Vista 'gehackt' tijdens Blackhat Nieuws van 5 augustus 2006
Meer producten en artikelen
Processors Computers Intel Beveiliging Virtualisatie

Reacties (58)

-Moderatie-faq
58
52
20
8
0
0
Wijzig sortering
johnbetonschaar 17 augustus 2007 14:13
Lijkt me vrij ingewikkeld om los van het OS te kunnen scannen op iedere willekeurige HD setup (bijvoorbeeld RAID), alle verschillende filesystems, etc. Volgens mij is de samenvatting niet helemaal correct en gebruikt de virusscanner wel degelijk het OS, alleen via een virtualisatie-laag, waardoor virussen niet zomaar de virusscanner zelf kunnen aantasten (iets wat veel virussen nu wel doen).
catfish @johnbetonschaar17 augustus 2007 15:14
iets zegt mij dat dit project niet de HD gaat scannen, maar eerder moet voorkomen dat een virus in een virtueel OS het host OS kan besmetten
aangezien ze het hardwarematig implementeren kunnen ze het dan krachtig genoeg maken dat ze zonder prestatieverlies realtime het geheugen/cpu scannen
Bravehearth @johnbetonschaar17 augustus 2007 15:16
Waarom is dit dan allemaal niet mogelijk??, want de controle wordt al gedaan iedere keer dat een programma rekentijd van de processor vraagt. Dus in principe wordt een virus meteen herkent en verwijderd nog voor dat deze de tijd van de proc heeft gekregen(dus gestart is). In theorie hoef je dus eigenlijk nooit meer te scannen, mits ze het zo willen oplossen natuurlijk ;).
Verwijderd 17 augustus 2007 22:08
Ik verbaas me er werkelijk over dat er hier mensen zijn die zichzelf serieus nemen door ontzettend domme uitspraken te doen. Zonder Anti-Virus scanner lopen ze naar eigen zeggen geen gevaar. Gewoon opletten en de processen in de gaten houden. Ik ben Security Expert voor een top500 bedrijf en kan hier uit professioneel oogpunt alleen maar erg van schrikken. De hedendaagse infecties van malware zijn niet allemaal zo makkeljk te zien als die mensen denken. Doordat dit soort mensen risico's nemen worden anderen besmet. Ik ben voor een systeem dat er een gevalideerde anti-virus/malware scanner aanwezig moet zijn op elk systeem dat connectie maakt met het Internet. Wanneer het systeem niet in orde is kan er simpelweg enkel verbinding gemaakt worden met een update server en verder niets. Ik verwacht ook dat dit met de tijd de realiteit zal gaan worden. Als laatste een klein voorbeelde. Iemand die even snel zijn processen checkt ziet een aantal svchosts staan. Natuurlijk kan je verder uitdiepen wat daar weer onder draait maar dat kan zeer makkelijk door een virus gemanipuleerd worden. Dit is enkel een simpel voorbeeld en zo zijn er nog velen waarom je NIET zonder anti-virus/malware scanner online moet gaan. Niet goed voor jezelf maar ook zeker niet voor anderen.
psyBSD 17 augustus 2007 14:08
Hmm, interessante ontwikkeling. Dan is je Virusscanner nl niet meer afhankelijk van het systeem dat het moet beveiligen. Dus, de scanner kan moeilijker om de tuin worden geleid omdat het geen onderdeel is van je systeem, maar er naast leeft en observeerd.

Ik denk dat dit een erg goede ontwikkeling is, zeker wanneer je de betrouwbaarheid van de OS-en waar deze virusscanners hun werk traditioneel gezien voor moeten doen in ogenschouw neemt.
Prulleman @psyBSD17 augustus 2007 14:53
Is dit wel zo?

Als ik het even voor het gemak vergelijk met VMware, dan zou je dus een soort mini linux anti virus Virtual machine hebben welke op bepaalde vlakken kan communiceren met het host OS, maar verder alles in zijn eigen virtual machine doet.

Als je windows dat toch onverhoopt helmaal naar de balle is, dan lijkt het me ook niet vanzelfsprekend dat je VM nog lekker soepel doordraait en je nog kan helpen.


Het is volgens mij ook niet zo dat je in nood naar je anti virus VM kan booten, omdat je toch een host nodig hebt.

Het enige voordeel van huidige/nieuwe pc's cpu's is dat er veel optimalisatie inzit voor virtualisatie.

Ik vraag me af wat nou precies de voordelen zijn.
psyBSD @Prulleman17 augustus 2007 15:18
Ik zie nergens staan dat windows het host-os zou zijn. Om dit te laten werken verwacht ik dat de virus-scanner en windows naast elkaar draaien op een aparte host. Of dat de virus-scanner een onderdeel is van de host.

In beide gevallen is het systeem waar mee gewerkt wordt een client-vm.
marquis @Prulleman17 augustus 2007 15:31
Ooit gehoord van ESX? linkje. Je virusscanner kan zelfs eerder opstarten dan je OS en zo vanaf de eerste start al je OS in de gaten houden. Vind het een heel mooi systeem.

Het probleem is nu dat je scanner opstart nadat de OS zijn eerste bestanden heeft opgestart. Dit maakt de scanner echt afhankelijk van het OS (is het OS wel in orde? Geen bootvirussen? Geen rootkits?). Door je scanner virtueel te draaien, sluit je deze problemen uit.
i-chat @Prulleman17 augustus 2007 15:23
echter in hardware enabled vm, zoals, passifica en intel's euhhhhhhhhhh.....

is er helemaal geen sprake van host os, sterker nog, eerder kun je dan spreken van windows als semi-guess os,

je zou binna kunne stellen dat de windows kernel strax wellicht op dezelfde manier via de av-scanner met de hardware zal gaan praten, zoals nu programma's via de kernel doen

[hardware] <-> antivir / hypervisor / micro kernel <?debug?> kernel <-> aplicatie
FSVZ 17 augustus 2007 14:10
Dus als ik het goed begrijp, is het met deze techniek ook mogelijk een cross-platform virusscanner te schrijven. Zou wel een mooie oplossing zijn voor virusscanners voor Linux en het Mac-OS
marcieking @FSVZ17 augustus 2007 14:16
Die hebben al virusscanners, maar die zijn minder nuttig: er zijn namelijk minder virussen voor die platforms omdat ze door minder mensen gebruikt worden en dus een minder aantrekkelijk target zijn. Daarnaast zijn het volgens veel mensen ook gewoon veiligere en betere besturingssystemen, waardoor virussen gewoon minder kans hebben.
Een Cross-platform virusscanner is trouwens niet zo zinnig, omdat er erg weinig cross-platform virussen zijn.
Verwijderd @marcieking17 augustus 2007 15:44
Virusscanners voor Linux controleren ook hoofdzakelijk op virussen voor Windows. Vaak worden die scanners dan ook alleen voor mailservers e.d. gebruikt.

Het voordeel van een cross-platform virusscanner is dat je in theorie TweakerNet OS kunt draaien als mailserver en dan met de virusscanner toch alle bijlagen kunt controleren.

De enige vereiste wordt dan wel dat het OS gebruik maakt van een bestand systeem dat de virusscanner begrijpt. Anders ziet het alleen maar een hele lange stream van data die naar en van de schijf gaat.
M.M @marcieking17 augustus 2007 14:36
Het is nog steeds mogelijk om virussen door te sturen ook al kunnen de virussen jouw systeem niet infecteren. Zie het maar als een .. sociale vaardigheid.
n4m3l355 17 augustus 2007 14:06
Ergens vind ik het ook ietwat eng, als je een antivirus zover krijgt, hoelang dat een virus zichzelf daar gaat nestelen? En probeer er dan nog maar eens vanaf te komen, misschien dat die zich somehow cross gevirtualiseerde platformen gaat nestelen.
Kaasje123 @n4m3l35517 augustus 2007 14:08
Als het een chip is dan kan je die toch gewoon schijfbeveiligt maken lijkt me niet zo 'n porbleem hoor :)
FriXion @Kaasje12317 augustus 2007 14:22
Hoe wil je vervolgens die virusscanner updaten? ;)
Bravehearth @FriXion17 augustus 2007 15:12
Door de 'core' van de antivirus schrijf beveiligd te maken, en op een andere chip de virus definities te zetten. Kan je updaten en heb je toch de zekerheid dat een virus niet je ANTI virus lamlegt. Dit hadden ze al veel langer gelden moeten en kunnen implementeren. Je vind er eigenlijk tegenwoordig al een 'HEEL' klein stukje van terug. mbt de antivirus beveiligings optie in je bios(ook al beschermd deze niet echt). Maar je WXp(vista) heeft iig geen of veel minder last van de achtergrond service van de antivirus programma's. Ander voordeel is natuurlijk dat je eigenlijk op het moment dat je je pc aanzet al beveiligd bent voor eventuele virus aanvallen. Denk hierbij vooral aan het booten van usbstick en/of cdrom
Noxious @Bravehearth17 augustus 2007 18:43
De antivirus-optie in je BIOS zorgt er alleen voor dat je bootsector door je BIOS wordt teruggezet als je die aanpast, altijd uitzetten dus bij de installatie van een besturingssysteem, daarna kan 'ie rustig aan, wel even je updates checken of ze niets met de bootsector doen ;)
DarkTemple @Kaasje12317 augustus 2007 14:18
Hoe ga je die updaten dan?
Verwijderd 17 augustus 2007 15:14
Het mooie hieraan is dat zij hun product read-only kunnen maken voor processen buiten de VM. Dit houdt in dat virussen dan niet meer in staat zijn om anti-virus producten te vernielen door bepaalde bestanden te overschrijven. Tevens kunnen virussen dan anti-virus programma's niet meer uitschakelen als die los staan van de OS.

Kan iemand dit wellicht bevestigen?
Razwer 17 augustus 2007 14:07
als een ANTI virus daar bij kan... kan een virus daar toch ook bij? of zie ik dat nou verkeerd?
vind het maar een beetje "eng".
Verwijderd @Verwijderd17 augustus 2007 14:42
En ik maar denken dat de pc's van noobs lid waren van een botnet... Nou blijken het de pc's van tweakers te zijn. :X
Mindsurfer @Verwijderd17 augustus 2007 15:59
"Noobs"(Lees: mensen met minder verstand van computers dan de gemiddelde tweaker) moeten antivirus draaien, een Tweaker weet exact wat voor processen er draaien, waar die processen vandaan komen en wat ze doen.

[Reactie gewijzigd door Mindsurfer op 26 juli 2024 19:54]

MaxxBass @Mindsurfer20 augustus 2007 09:37
Tegenwoordig hebben CPU's zoveel power, dat je niks merkt van een virusscanner.
Regelmatig krijg ik een melding dat bepaalde sitecontent onderdelen bevat welke door mijn virusscanner geblocked worden.
Waarom zou je die 1 a 2 procent snelheidsverlies nou niet op de kop nemen om het net iets veiliger te maken?
Het is inderdaad te vergelijken met rijden zonder gordel. Gaat net zolang goed tot het fout gaat. Probleem is wel dat je in dit geval ook zonder gordel nog rotzooi kunt verspreiden zonder dat je het weet.
En niemand gaat om het uur kijken welke services hij draait, dat doe je pas als je merkt dat er iets mis is, en dan kan het al dagen mis zijn... die botmakers zijn natuurlijk hebberig en pakken net zo lief al je cpu power of bandbreedte, maar er zijn er ook zat slimmere bij, die alleen idle time pakken, en dan minimaal.

Haal die plank voor je kop weg, en installeer zo'n scanner. Waarom denken mensen dat ze alles in de gaten kunnen houden? En als je het al kunt, dan wil je het toch niet.. kunt beter tijd stoppen en lekker surfen en spelen enzo.. of werken... schijnt ook nog wel te gebeuren achter een pc... :P

Zijn genoeg gratis en goede scanners te krijgen. Ook voor OSX en linux varianten. Wellicht kun je zelf niet besmet worden, maar er bestaat ook nog zoiets als forwarding..
Verwijderd @Mindsurfer17 augustus 2007 21:30
En welk proces is een rootkit?

Die kunnen helemaal buiten zicht draaien hoor. Virusscanner ziet niets, firewall ziet niets en taskmanager rapporteert niets vreemds. Enige manier om zeker van je zaak te zijn. Alle losse updatepacks van je viruskillers downloaden inclusief install file. Compleet systeem formatteren, eventueel op spare drive. Viruskiller installeren verdachte schijf als additionele schijf erbij plaatsen en een offline scan doen.

Heb je dan absolute zekerheid? Nee eigenlijk niet eens. Theoretisch zou men nog het een en ander via een verborgen partitie kunnen opstarten. En uiteraard zou de betreffende malware wel eens nog niet in de definite files kunnen zitten.

En geloof me op adsl helpdesk, klanten klagen over trage pc, upload 4 tot 8 keer zo groot als download, en dan beginnen ze over hun virusscanner en dat ie niets vind en dat ze hem gisteren nog hebben geupdate. En dat ze niks kunnen vinden in de proceslist wat verdacht is.
Cameleon73 @Verwijderd17 augustus 2007 23:15
Rootkits draaien 'buiten zichzelf'? Ik vraag me af wat je daarmee bedoelt. Rootkits kunnen zich wel buiten het zicht van een OS plaatsen (o.a. door virtualisatie).... maar het gros heb je met de Rootkit Revealer wel te pakken. Een must voor alle tweakers (net als zoveel tools van (het door Microsoft overgenomen) Sysinternals, trouwens)!
Dutch_Razor @Mindsurfer17 augustus 2007 23:34
Ooh tuurlijk, dus jij weet precies welk svchost.exe proces van Windows is en welk een virus? Daar kan ik toch niet bij hoor.,.
Cameleon73 @Dutch_Razor18 augustus 2007 11:54
ProcessExplorer weet dat wel! :)
Kaasje123 @Verwijderd17 augustus 2007 14:12
ja door dat soort denkwijze's worden wij bestook met spam omdat mensen net zoals jij denken en dus niet doorhebben deel uit te maken van een botnet. |:(
SSH @Kaasje12317 augustus 2007 16:01
De beste virusscanner is nog altijd een mens zelf. Als je af en toe je processen en verbindingen checkt is er niks aan de hand. Ik scan alleen wel eens op rootkits.

De meeste mensen in een bot netwerk hebben denk gewoon een virusscanner draaien, waarschijnlijk symantec/norton dat de helft maar detecteerd.....
ultimasnake @SSH17 augustus 2007 21:05
Iedere keer als een een programmatje vast loopt heb jij mogelijk een virus op je pc, ze gebruiken regelmatig onderwater misbruik van de fouten die jij niet door hebt.

He bah stomme kut IE loopt vast, nee een virus is aan het werk en jij hebt neits door. Geen scanner? dan zal je echt niets merken hoor! zelfs de doorgewinterde tweaker niet. Ze zijn tegenwoordig zo slim gemaakt dat jij geen performance verlies opmerkt!
Verwijderd @Kaasje12317 augustus 2007 21:47
ja door dat soort denkwijze's worden wij bestook met spam omdat mensen net zoals jij denken en dus niet doorhebben deel uit te maken van een botnet.
Als je je verstand gebruikt blijft je pc makkelijk vrij van virussen. En als je iets handiger bent met pc's, merk je ook snel dat er vreemde dingen gebeuren op je pc en kan je het virus met de hand verwijderen (gaat sneller dan op antivirus definities wachten + updaten + scannen).

Ik draai btw hoofdzakelijk OSX en Linux, beide virusvrij. Nu hopen dat dat zo blijft.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 19:54]

Miglow @Verwijderd18 augustus 2007 09:34
Ik rijd ook altijd zonder gordel en heb nog nooit een ongeluk gehad, ik kijk dan altijd goed om me heen en rijd alleen op de weg als er niemand te bekennen is. Dan kan je ook geen ongeluk krijgen en blijven je auto en je hoofd vrij van deuken.
Verwijderd @Verwijderd17 augustus 2007 14:25
ik ga akkoord met mentinal...
zeker hier op tweakers zullen meer mensen zijn die akkoord gaan als ik zeg dat virussen 99% je eigen fout zijn, en die overige 1% kan je zelfs niet stoppen door een antivirus omdat deze zo snel verspreiden dat er nog geen remedie/ze nog niet herkend worden.

ik draai gewoon firefox met adblock en noscript. al 6 jaar doe ik zonder virusscanner.
héél af en toe op safety.live.com een gratis scannetje en daar vindt hij nooit niks.
zelfde bij housecall van trendmicro.

en idd, ik ga niet "half-life-2-keygen.exe" downloaden via limewire.

de windows firewall doet z'n werk behoorlijk
en mocht er dan toch iets verdacht gebeuren: autoruns even opstarten en checken naar verdachtheden. (al dan niet in veilige modus)

een backup moet je sowieso maken, ongeacht virussen

[Reactie gewijzigd door Verwijderd op 26 juli 2024 19:54]

Verwijderd 17 augustus 2007 14:23
ik denk dat symantec wakker is geschud door het microsoft vista verhaal en nu minder afhankelijk willen worden
deuzige 17 augustus 2007 14:24
ach nee toch, symantec's antivirus producten slokken nou al zo'n boel van de resources op. Nee ik denk niet dat ik hierdoor weer terug naar symantec's producten ga schakelen. En als symantec hierdoor naast het OS kan gaan draaien... openen ze dan niet een pandora's box voor hackerts?
the-edge @deuzige17 augustus 2007 14:27
Los van OS gebruikt hij toch geen resources?
Verwijderd @the-edge17 augustus 2007 15:02
Het zou los van het OS draaien, maar nog steeds heeft het cpu-cycles en geheugen nodig, en kost dus performance. Er zijn minder resources voor het OS (en alles daaronder) over.
Fiander @deuzige17 augustus 2007 14:30
Ik denk dat je je nu vergist met symantec norton antivirus.
symantec anti virus is bedoel voor servers, en draait een stuk soepeler.
Fiander 17 augustus 2007 14:35
Wat zou zoiets doen met de gezette rechten op de hardeschijven, en de stabieliteit van de performance ?

Als iets buiten het OS, opeens de hardeschijf gaat scannen, zou ik niet blij zijn als het om mijn servers zou gaan.
Verwijderd @Fiander17 augustus 2007 14:51
ik verwacht wel eenvoudige communicatie met het OS en zeker op server niveau, al is het niet noodzakelijk

performance en stabiliteit zullen toenemen aangezien we ons dan op 'dedicated' terrein begeven

[Reactie gewijzigd door Verwijderd op 26 juli 2024 19:54]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq