Quote:
Originariamente inviato da k0nt3
ho capito cosa intendi.
hai ragione allora, ma bisogna tenere conto del fatto che gli antivirus creano le firme dei virus solo dopo che i virus sono stati creati e quindi hanno già colpito (ci mancherebbe  ), e anche che il software contiene sempre bug e quindi c'è sempre una potenziale porta aperta.
il motivo per cui questi hypervisor "cattivi" sono preoccupanti è che una volta che hanno infettato il sistema non è possibile rilevarli (o almeno non si è ancora riusciti a farlo).
l'unica via che si può percorrere è preinstallare un hypervisor "buono" che cerca di impedire a quelli "cattivi" di installarsi (e quindi in teoria si risolve anche il "problema" del TPM virtualizzato).
sicuramente andrà così, ma mi puzza di trusted computing in arrivo  |
basta semplicemente riportare all'utente comportamenti strani tipo utilizzo di VT e chiedere cosa fare o fare un blocco della VT se non usata.
Per il resto un virus del genere sarebbe talmente complesso che sarebbe riutilizzato una volta sola permettendo all'euristica di rintracciarlo anche dopo modifiche radicali.
Sono anche d'accordo con contezero:come gia ho detto un virus del genere sarebbe troppo complesso e grosso.
P.S.:i rootkit sono difficilissimi da rintracciare ma non impossibili,ci sono gia antivirus che lo fanno e riescono a riparare i danni;basta controllare l'mbr e cambiamenti nella fase di boot.