Quote:
Originariamente inviato da plokko
intendo che si puo bloccare l'eseguibile prima della sua installazione come si fa coi virus comuni,dei rootkit sono gia usciti e sono dannatamente difficili da rintracciare se installati ma oramai sono gia blacklistati dagli antivirus.
L'hypervisor ha pieno accesso al sistema solo se prima il s.o. primario gli da pieno accesso nell'istallazione,se il s.o. gli nega l'accesso non puo accederci;se dev'essere un virus distruttivo a sto punto avrebbe gia fatto danni con o senza hypervisor.
|
ho capito cosa intendi.
hai ragione allora, ma bisogna tenere conto del fatto che gli antivirus creano le firme dei virus solo dopo che i virus sono stati creati e quindi hanno già colpito (ci mancherebbe
), e anche che il software contiene sempre bug e quindi c'è sempre una potenziale porta aperta.
il motivo per cui questi hypervisor "cattivi" sono preoccupanti è che una volta che hanno infettato il sistema non è possibile rilevarli (o almeno non si è ancora riusciti a farlo).
l'unica via che si può percorrere è preinstallare un hypervisor "buono" che cerca di impedire a quelli "cattivi" di installarsi (e quindi in teoria si risolve anche il "problema" del TPM virtualizzato).
sicuramente andrà così, ma mi puzza di trusted computing in arrivo
