Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Объявлено о детектировании Blue Pill 23.06.08 23:57
Publisher: dl <Dmitry Leonov>
|
Объявлено о детектировании Blue Pill
North Security Labs http://www.northsecuritylabs.com
Группа разработчиков North Security Labs объявила о детектировании и блокировании руткитов на базе гипервизоров (Blue Pill, Vitriol).
Метод заключается в перехвате запуска гипервизора другим гипервизором (North Security Labs называют его VIPS, Virtual Intrusion Protection System). Для этого VIPS должен быть запущен раньше перехватываемого гипервизора.
При перехвате происходит разрешение либо запрет запуска. Разрешение происходит за счет эмуляции виртуализационных возможностей процессора (технологии Intel VT-x, AMD-V). При запрете эмулируется отключенная в BIOS виртуализация. В обоих случаях VIPS получает доступ к коду руткита для его анализа.
На данный момент реализована поддержка лишь варианта с запретом запуска. Обещана поддержка варианта с разрешением запуска в будущем.
Полный текст
|
|
|
подробно о проекте
Анализ криптографических сетевых...
