Comments 5
Интересно. Как раз писал о защите от вредоносных гипервизоров habrahabr.ru/blogs/virus/121197/. Аппаратные реализации создают хорошее подспорье к созданию новых средств защиты.
Нет защиты которую не обойти, есть только турдные препятствия.
А что если гипервизор поднять на уровень выше? Колец то 4
А что если гипервизор поднять на уровень выше? Колец то 4
Вы правы, абсолютная защита невозможна. Но можно сильно затруднить задачу обхода защиты. Например, для обхода вышеприведенного метода обнаружения автор руткита может реализовать свой гипервизор. Чтобы детектор-гипервизор, стартующий поверх запущенного руткита-гипервизора, ничего не заподозрил, придется проэмулировать технологию виртуализации. Это почти неосуществимая задача, которая по плечу лишь большим корпорациям.
И наоборот, если руткит-гипервизор попытается запуститься при включенном детекторе-гипервизоре, то не сможет этого сделать и будет обнаружен.
В режим гипервизора (root mode) можно перейти только с нулевого кольца. Без исключений.
И наоборот, если руткит-гипервизор попытается запуститься при включенном детекторе-гипервизоре, то не сможет этого сделать и будет обнаружен.
В режим гипервизора (root mode) можно перейти только с нулевого кольца. Без исключений.
Sign up to leave a comment.
Гипервизор против руткитов: как это работает