Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Bron: X-bit Labs

Intel en Symantec zijn gezamenlijk bezig met de ontwikkeling van een beveiligingsproduct. Nieuw hieraan is dat ze gebruikmaken van de virtualisatiefunctionaliteit, die in steeds meer cpu's is terug te vinden.

The Hood uit ThunderbirdsDe samenwerking, die de codenaam 'Project Hood' heeft meegekregen, is onderdeel van de inspanningen van de twee bedrijven om hardwarematige virtualisatie breder in te zetten. In plaats van het ontwikkelen van software voor een specifiek besturingssysteem, bouwen Intel en Symantec een product dat direct kan communiceren met Virtualisation Technology-hardware. Daardoor kan deze applicatie onder en naast het besturingssysteem werken en draait het niet in het OS, zoals traditionele virusscanners dat wel doen.

Deze virtualisatiefunctionaliteit zal in eerste instantie alleen ingezet worden in servers en krachtige workstations. In de toekomst zal de techniek echter ook zijn weg vinden naar mainstream-computersystemen.

Moderatie-faq Wijzig weergave

Reacties (58)

Lijkt me vrij ingewikkeld om los van het OS te kunnen scannen op iedere willekeurige HD setup (bijvoorbeeld RAID), alle verschillende filesystems, etc. Volgens mij is de samenvatting niet helemaal correct en gebruikt de virusscanner wel degelijk het OS, alleen via een virtualisatie-laag, waardoor virussen niet zomaar de virusscanner zelf kunnen aantasten (iets wat veel virussen nu wel doen).
iets zegt mij dat dit project niet de HD gaat scannen, maar eerder moet voorkomen dat een virus in een virtueel OS het host OS kan besmetten
aangezien ze het hardwarematig implementeren kunnen ze het dan krachtig genoeg maken dat ze zonder prestatieverlies realtime het geheugen/cpu scannen
Waarom is dit dan allemaal niet mogelijk??, want de controle wordt al gedaan iedere keer dat een programma rekentijd van de processor vraagt. Dus in principe wordt een virus meteen herkent en verwijderd nog voor dat deze de tijd van de proc heeft gekregen(dus gestart is). In theorie hoef je dus eigenlijk nooit meer te scannen, mits ze het zo willen oplossen natuurlijk ;).
Ik verbaas me er werkelijk over dat er hier mensen zijn die zichzelf serieus nemen door ontzettend domme uitspraken te doen. Zonder Anti-Virus scanner lopen ze naar eigen zeggen geen gevaar. Gewoon opletten en de processen in de gaten houden. Ik ben Security Expert voor een top500 bedrijf en kan hier uit professioneel oogpunt alleen maar erg van schrikken. De hedendaagse infecties van malware zijn niet allemaal zo makkeljk te zien als die mensen denken. Doordat dit soort mensen risico's nemen worden anderen besmet. Ik ben voor een systeem dat er een gevalideerde anti-virus/malware scanner aanwezig moet zijn op elk systeem dat connectie maakt met het Internet. Wanneer het systeem niet in orde is kan er simpelweg enkel verbinding gemaakt worden met een update server en verder niets. Ik verwacht ook dat dit met de tijd de realiteit zal gaan worden. Als laatste een klein voorbeelde. Iemand die even snel zijn processen checkt ziet een aantal svchosts staan. Natuurlijk kan je verder uitdiepen wat daar weer onder draait maar dat kan zeer makkelijk door een virus gemanipuleerd worden. Dit is enkel een simpel voorbeeld en zo zijn er nog velen waarom je NIET zonder anti-virus/malware scanner online moet gaan. Niet goed voor jezelf maar ook zeker niet voor anderen.
Hmm, interessante ontwikkeling. Dan is je Virusscanner nl niet meer afhankelijk van het systeem dat het moet beveiligen. Dus, de scanner kan moeilijker om de tuin worden geleid omdat het geen onderdeel is van je systeem, maar er naast leeft en observeerd.

Ik denk dat dit een erg goede ontwikkeling is, zeker wanneer je de betrouwbaarheid van de OS-en waar deze virusscanners hun werk traditioneel gezien voor moeten doen in ogenschouw neemt.
Is dit wel zo?

Als ik het even voor het gemak vergelijk met VMware, dan zou je dus een soort mini linux anti virus Virtual machine hebben welke op bepaalde vlakken kan communiceren met het host OS, maar verder alles in zijn eigen virtual machine doet.

Als je windows dat toch onverhoopt helmaal naar de balle is, dan lijkt het me ook niet vanzelfsprekend dat je VM nog lekker soepel doordraait en je nog kan helpen.


Het is volgens mij ook niet zo dat je in nood naar je anti virus VM kan booten, omdat je toch een host nodig hebt.

Het enige voordeel van huidige/nieuwe pc's cpu's is dat er veel optimalisatie inzit voor virtualisatie.

Ik vraag me af wat nou precies de voordelen zijn.
Ik zie nergens staan dat windows het host-os zou zijn. Om dit te laten werken verwacht ik dat de virus-scanner en windows naast elkaar draaien op een aparte host. Of dat de virus-scanner een onderdeel is van de host.

In beide gevallen is het systeem waar mee gewerkt wordt een client-vm.
Ooit gehoord van ESX? linkje. Je virusscanner kan zelfs eerder opstarten dan je OS en zo vanaf de eerste start al je OS in de gaten houden. Vind het een heel mooi systeem.

Het probleem is nu dat je scanner opstart nadat de OS zijn eerste bestanden heeft opgestart. Dit maakt de scanner echt afhankelijk van het OS (is het OS wel in orde? Geen bootvirussen? Geen rootkits?). Door je scanner virtueel te draaien, sluit je deze problemen uit.
echter in hardware enabled vm, zoals, passifica en intel's euhhhhhhhhhh.....

is er helemaal geen sprake van host os, sterker nog, eerder kun je dan spreken van windows als semi-guess os,

je zou binna kunne stellen dat de windows kernel strax wellicht op dezelfde manier via de av-scanner met de hardware zal gaan praten, zoals nu programma's via de kernel doen

[hardware] <-> antivir / hypervisor / micro kernel <?debug?> kernel <-> aplicatie
Dus als ik het goed begrijp, is het met deze techniek ook mogelijk een cross-platform virusscanner te schrijven. Zou wel een mooie oplossing zijn voor virusscanners voor Linux en het Mac-OS
Die hebben al virusscanners, maar die zijn minder nuttig: er zijn namelijk minder virussen voor die platforms omdat ze door minder mensen gebruikt worden en dus een minder aantrekkelijk target zijn. Daarnaast zijn het volgens veel mensen ook gewoon veiligere en betere besturingssystemen, waardoor virussen gewoon minder kans hebben.
Een Cross-platform virusscanner is trouwens niet zo zinnig, omdat er erg weinig cross-platform virussen zijn.
Virusscanners voor Linux controleren ook hoofdzakelijk op virussen voor Windows. Vaak worden die scanners dan ook alleen voor mailservers e.d. gebruikt.

Het voordeel van een cross-platform virusscanner is dat je in theorie TweakerNet OS kunt draaien als mailserver en dan met de virusscanner toch alle bijlagen kunt controleren.

De enige vereiste wordt dan wel dat het OS gebruik maakt van een bestand systeem dat de virusscanner begrijpt. Anders ziet het alleen maar een hele lange stream van data die naar en van de schijf gaat.
Het is nog steeds mogelijk om virussen door te sturen ook al kunnen de virussen jouw systeem niet infecteren. Zie het maar als een .. sociale vaardigheid.
Ergens vind ik het ook ietwat eng, als je een antivirus zover krijgt, hoelang dat een virus zichzelf daar gaat nestelen? En probeer er dan nog maar eens vanaf te komen, misschien dat die zich somehow cross gevirtualiseerde platformen gaat nestelen.
Als het een chip is dan kan je die toch gewoon schijfbeveiligt maken lijkt me niet zo 'n porbleem hoor :)
Hoe wil je vervolgens die virusscanner updaten? ;)
Door de 'core' van de antivirus schrijf beveiligd te maken, en op een andere chip de virus definities te zetten. Kan je updaten en heb je toch de zekerheid dat een virus niet je ANTI virus lamlegt. Dit hadden ze al veel langer gelden moeten en kunnen implementeren. Je vind er eigenlijk tegenwoordig al een 'HEEL' klein stukje van terug. mbt de antivirus beveiligings optie in je bios(ook al beschermd deze niet echt). Maar je WXp(vista) heeft iig geen of veel minder last van de achtergrond service van de antivirus programma's. Ander voordeel is natuurlijk dat je eigenlijk op het moment dat je je pc aanzet al beveiligd bent voor eventuele virus aanvallen. Denk hierbij vooral aan het booten van usbstick en/of cdrom
De antivirus-optie in je BIOS zorgt er alleen voor dat je bootsector door je BIOS wordt teruggezet als je die aanpast, altijd uitzetten dus bij de installatie van een besturingssysteem, daarna kan 'ie rustig aan, wel even je updates checken of ze niets met de bootsector doen ;)
Hoe ga je die updaten dan?
Het mooie hieraan is dat zij hun product read-only kunnen maken voor processen buiten de VM. Dit houdt in dat virussen dan niet meer in staat zijn om anti-virus producten te vernielen door bepaalde bestanden te overschrijven. Tevens kunnen virussen dan anti-virus programma's niet meer uitschakelen als die los staan van de OS.

Kan iemand dit wellicht bevestigen?
als een ANTI virus daar bij kan... kan een virus daar toch ook bij? of zie ik dat nou verkeerd?
vind het maar een beetje "eng".
En ik maar denken dat de pc's van noobs lid waren van een botnet... Nou blijken het de pc's van tweakers te zijn. :X
"Noobs"(Lees: mensen met minder verstand van computers dan de gemiddelde tweaker) moeten antivirus draaien, een Tweaker weet exact wat voor processen er draaien, waar die processen vandaan komen en wat ze doen.

[Reactie gewijzigd door Mindsurfer op 17 augustus 2007 16:00]

Tegenwoordig hebben CPU's zoveel power, dat je niks merkt van een virusscanner.
Regelmatig krijg ik een melding dat bepaalde sitecontent onderdelen bevat welke door mijn virusscanner geblocked worden.
Waarom zou je die 1 a 2 procent snelheidsverlies nou niet op de kop nemen om het net iets veiliger te maken?
Het is inderdaad te vergelijken met rijden zonder gordel. Gaat net zolang goed tot het fout gaat. Probleem is wel dat je in dit geval ook zonder gordel nog rotzooi kunt verspreiden zonder dat je het weet.
En niemand gaat om het uur kijken welke services hij draait, dat doe je pas als je merkt dat er iets mis is, en dan kan het al dagen mis zijn... die botmakers zijn natuurlijk hebberig en pakken net zo lief al je cpu power of bandbreedte, maar er zijn er ook zat slimmere bij, die alleen idle time pakken, en dan minimaal.

Haal die plank voor je kop weg, en installeer zo'n scanner. Waarom denken mensen dat ze alles in de gaten kunnen houden? En als je het al kunt, dan wil je het toch niet.. kunt beter tijd stoppen en lekker surfen en spelen enzo.. of werken... schijnt ook nog wel te gebeuren achter een pc... :P

Zijn genoeg gratis en goede scanners te krijgen. Ook voor OSX en linux varianten. Wellicht kun je zelf niet besmet worden, maar er bestaat ook nog zoiets als forwarding..
En welk proces is een rootkit?

Die kunnen helemaal buiten zicht draaien hoor. Virusscanner ziet niets, firewall ziet niets en taskmanager rapporteert niets vreemds. Enige manier om zeker van je zaak te zijn. Alle losse updatepacks van je viruskillers downloaden inclusief install file. Compleet systeem formatteren, eventueel op spare drive. Viruskiller installeren verdachte schijf als additionele schijf erbij plaatsen en een offline scan doen.

Heb je dan absolute zekerheid? Nee eigenlijk niet eens. Theoretisch zou men nog het een en ander via een verborgen partitie kunnen opstarten. En uiteraard zou de betreffende malware wel eens nog niet in de definite files kunnen zitten.

En geloof me op adsl helpdesk, klanten klagen over trage pc, upload 4 tot 8 keer zo groot als download, en dan beginnen ze over hun virusscanner en dat ie niets vind en dat ze hem gisteren nog hebben geupdate. En dat ze niks kunnen vinden in de proceslist wat verdacht is.
Rootkits draaien 'buiten zichzelf'? Ik vraag me af wat je daarmee bedoelt. Rootkits kunnen zich wel buiten het zicht van een OS plaatsen (o.a. door virtualisatie).... maar het gros heb je met de Rootkit Revealer wel te pakken. Een must voor alle tweakers (net als zoveel tools van (het door Microsoft overgenomen) Sysinternals, trouwens)!
Ooh tuurlijk, dus jij weet precies welk svchost.exe proces van Windows is en welk een virus? Daar kan ik toch niet bij hoor.,.
ja door dat soort denkwijze's worden wij bestook met spam omdat mensen net zoals jij denken en dus niet doorhebben deel uit te maken van een botnet. |:(
De beste virusscanner is nog altijd een mens zelf. Als je af en toe je processen en verbindingen checkt is er niks aan de hand. Ik scan alleen wel eens op rootkits.

De meeste mensen in een bot netwerk hebben denk gewoon een virusscanner draaien, waarschijnlijk symantec/norton dat de helft maar detecteerd.....
Iedere keer als een een programmatje vast loopt heb jij mogelijk een virus op je pc, ze gebruiken regelmatig onderwater misbruik van de fouten die jij niet door hebt.

He bah stomme kut IE loopt vast, nee een virus is aan het werk en jij hebt neits door. Geen scanner? dan zal je echt niets merken hoor! zelfs de doorgewinterde tweaker niet. Ze zijn tegenwoordig zo slim gemaakt dat jij geen performance verlies opmerkt!
ja door dat soort denkwijze's worden wij bestook met spam omdat mensen net zoals jij denken en dus niet doorhebben deel uit te maken van een botnet.
Als je je verstand gebruikt blijft je pc makkelijk vrij van virussen. En als je iets handiger bent met pc's, merk je ook snel dat er vreemde dingen gebeuren op je pc en kan je het virus met de hand verwijderen (gaat sneller dan op antivirus definities wachten + updaten + scannen).

Ik draai btw hoofdzakelijk OSX en Linux, beide virusvrij. Nu hopen dat dat zo blijft.

[Reactie gewijzigd door KoeNijn op 17 augustus 2007 21:49]

Ik rijd ook altijd zonder gordel en heb nog nooit een ongeluk gehad, ik kijk dan altijd goed om me heen en rijd alleen op de weg als er niemand te bekennen is. Dan kan je ook geen ongeluk krijgen en blijven je auto en je hoofd vrij van deuken.
ik ga akkoord met mentinal...
zeker hier op tweakers zullen meer mensen zijn die akkoord gaan als ik zeg dat virussen 99% je eigen fout zijn, en die overige 1% kan je zelfs niet stoppen door een antivirus omdat deze zo snel verspreiden dat er nog geen remedie/ze nog niet herkend worden.

ik draai gewoon firefox met adblock en noscript. al 6 jaar doe ik zonder virusscanner.
hl af en toe op safety.live.com een gratis scannetje en daar vindt hij nooit niks.
zelfde bij housecall van trendmicro.

en idd, ik ga niet "half-life-2-keygen.exe" downloaden via limewire.

de windows firewall doet z'n werk behoorlijk
en mocht er dan toch iets verdacht gebeuren: autoruns even opstarten en checken naar verdachtheden. (al dan niet in veilige modus)

een backup moet je sowieso maken, ongeacht virussen

[Reactie gewijzigd door 108886 op 17 augustus 2007 14:26]

ik denk dat symantec wakker is geschud door het microsoft vista verhaal en nu minder afhankelijk willen worden
ach nee toch, symantec's antivirus producten slokken nou al zo'n boel van de resources op. Nee ik denk niet dat ik hierdoor weer terug naar symantec's producten ga schakelen. En als symantec hierdoor naast het OS kan gaan draaien... openen ze dan niet een pandora's box voor hackerts?
Los van OS gebruikt hij toch geen resources?
Het zou los van het OS draaien, maar nog steeds heeft het cpu-cycles en geheugen nodig, en kost dus performance. Er zijn minder resources voor het OS (en alles daaronder) over.
Ik denk dat je je nu vergist met symantec norton antivirus.
symantec anti virus is bedoel voor servers, en draait een stuk soepeler.
Wat zou zoiets doen met de gezette rechten op de hardeschijven, en de stabieliteit van de performance ?

Als iets buiten het OS, opeens de hardeschijf gaat scannen, zou ik niet blij zijn als het om mijn servers zou gaan.
ik verwacht wel eenvoudige communicatie met het OS en zeker op server niveau, al is het niet noodzakelijk

performance en stabiliteit zullen toenemen aangezien we ons dan op 'dedicated' terrein begeven

[Reactie gewijzigd door Esthero op 17 augustus 2007 15:15]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True