[Thread Ufficiale] Tecnologie LaGrande e Presidio nei processori Intel e AMD - Pagina 349

ConteZero · 06-07-2008, 22:59

Quote:

Originariamente inviato da k0nt3

non hai capito.. l'hypervisor ha il pieno controllo della CPU, mentre il SO per fare qualsiasi operazione deve passare dall'hypervisor che può intercettare qualsiasi istruzione, manipolarla come vuole e restituire quello che vuole al SO.
leggiti quei pdf che dopo ti sarà tutto più chiaro

Dal che capisco che non ne capisci un cavolo e parli per sentito dire.
Una CPU puoi controllarla quanto ti pare, ma il problema è tutto il contesto intorno alla CPU.

Ti posso dare una CPU sotto il tuo pieno controllo, con un hard disk sotto il tuo pieno controllo, ma puoi non essere in grado di scrivere un file su disco.
Un esempio ? Un disco HPFS su un PC con Windows sopra.
Non puoi "sostituire" il driver, ed il driver "agisce" solo secondo le meccaniche decise dal SO, per cui puoi barare solo fino ad un certo punto.
Non è Matrix, devi sempre passare dal driver per effettuare operazioni sul disco esattamente come devi sempre passare dal memory manager per farti allocare la memoria e dal process manager per avviare un processo.
La CPU è solo l'omino che esegue il lavoro, l'OS è il quaderno dove c'è scritto qual'è il lavoro da svolgere.

k0nt3 · 06-07-2008, 23:04

Quote:

Originariamente inviato da ConteZero

Dal che capisco che non ne capisci un cavolo e parli per sentito dire.
Una CPU puoi controllarla quanto ti pare, ma il problema è tutto il contesto intorno alla CPU.

bene allora vai te dire a questi ricercatori che non hanno capito niente. è 2 anni che partecipano alle più importanti conferenze sulla sicurezza, ma si vede che si sono sbagliati.
l'hypervisor non deve passare dal SO, è il contrario. il SO viene scavalcato

ConteZero · 06-07-2008, 23:07

Quote:

Originariamente inviato da k0nt3

bene allora vai te dire a questi ricercatori che non hanno capito niente. è 2 anni che partecipano alle più importanti conferenze sulla sicurezza, ma si vede che si sono sbagliati.
l'hypervisor non deve passare dal SO, è il contrario. il SO viene scavalcato

Ok, allora scavalcami un OS e scrivimi un file su disco senza usare il driver.
Ho un hard disk XBox360 criptato fino all'osso, ma sono convinto che tu, e loro, possiate farcela.

LORO sono esperti di sicurezza che non sono interessati tanto all'hacking della macchina quanto ad una cosa meno invasiva come la possibilità di accedere a dati sensibili.
Un virus, my friend, è molto più invasivo.
Che poi un virus basato su VT possa fare tutto si, è vero, ma dev'essere un entità in due parti, ed una dev'essere sul sistema guest, e come tale è detectabile.
In coda vorrei capire una cosa... il "virus" si basa comunque sull'esecuzione di un frammento che diventa hypervisor (prima o poi); cosa lo rende tanto superiore al resto dei virus in circolazione ?

k0nt3 · 06-07-2008, 23:10

Quote:

Originariamente inviato da ConteZero

Ok, allora scavalcami un OS e scrivimi un file su disco senza usare il driver.
Ho un hard disk XBox360 criptato fino all'osso, ma sono convinto che tu, e loro, possiate farcela.

LORO sono esperti di sicurezza che non sono interessati tanto all'hacking della macchina quanto ad una cosa meno invasiva come la possibilità di accedere a dati sensibili.
Un virus, my friend, è molto più invasivo.

senti non ho nessuna intenzione di parlare con un muro. torna quando hai letto quei pdf altrimenti è inutile
oppure se pensi di saperne più del resto del mondo scrivi un libro

ConteZero · 06-07-2008, 23:15

Torna tu quando riuscirai a scrivermi un bel virus che mi scrive un file su un hard disk in un formato sconosciuto all'hypervisor (e senza usare le API del guest).

It got electrolytes.

k0nt3 · 06-07-2008, 23:16

Quote:

Originariamente inviato da ConteZero

Torna tu quando riuscirai a scrivermi un bel virus che mi scrive un file su un hard disk in un formato sconosciuto all'hypervisor (e senza usare le API del guest).

It got electrolytes.

non c'è bisogno che lo scrivo io, l'hanno già scritto e ti ho anche detto da dove puoi scaricarlo

k0nt3 · 06-07-2008, 23:18

l'unica cosa che vorrei sapere è dove sta scritto che le specifiche del TPM sono rilasciate sotto nda

ConteZero · 06-07-2008, 23:28

Quello è "errore mio".
L'ultima volta che ho controllato le informazioni su TPM non erano ancora disponibili le specifiche e si diceva che sarebbero state rese solo sotto NDA.
Probabilmente hanno cambiato policy.

k0nt3 · 07-07-2008, 08:57

Quote:

Originariamente inviato da ConteZero

Quello è "errore mio".
L'ultima volta che ho controllato le informazioni su TPM non erano ancora disponibili le specifiche e si diceva che sarebbero state rese solo sotto NDA.
Probabilmente hanno cambiato policy.

ah ok

no perchè se c'erano altre specifiche avrei voluto saperne di più

Alex_80 · 07-07-2008, 20:59

La virtualizzazione hardware per essere eseguita su CPU Intel è obbligatoria la Intel VT?
Nella virtualizzazione software ci sono gli stessi problemi a individuare un virus che ha creato una macchina virtuale per nascondersi?

Ho finito di leggere questi documenti http://www.hwupgrade.it/forum/showpo...66&postcount=9; le spiegazioni per un 80% le ho capite, mi perdo un po' con le sigle, comunque i concetti li ho capiti.
Dalla discussione di ConteZero e k0nt3 mi sono venuti dubbi sulla reale possibilità di realizzare un virus con la VT non rilevabile, come BluePill (chissà se c'è un doppio senso voluto

).
Personalmente non saprei se sia possibile, comunque per esempio ipotizziamo questo scenario:
scopo --> voglio modificare a caso alcuni dati su un hard reale in cui sono contenuti tutti i dati del PC
realizzazione --> creo un virus che crea una macchina virtuale, quest'ultima tramite un driver creato apposta scrivo sul disco reale senza considerare il file system, ovviamente il sistema andrà in crash, tuttavia avrò realizzato il mio scopo di fare danni: sarebbe possibile fare ciò secondo voi?

plokko · 08-07-2008, 09:07

...come se chi volesse veramente infrangere la legge non riuscisse a creare "modchip" o mod software per aggirare il processo o ancora peggio riuscire a identificarsi come qualcun'altro per rubare dati o crearsi un'alibi o incolpare qualcun'altro.

plokko · 08-07-2008, 09:14

Quote:

Originariamente inviato da Alex_80

La virtualizzazione hardware per essere eseguita su CPU Intel è obbligatoria la Intel VT?
Nella virtualizzazione software ci sono gli stessi problemi a individuare un virus che ha creato una macchina virtuale per nascondersi?

Ho finito di leggere questi documenti http://www.hwupgrade.it/forum/showpo...66&postcount=9; le spiegazioni per un 80% le ho capite, mi perdo un po' con le sigle, comunque i concetti li ho capiti.
Dalla discussione di ConteZero e k0nt3 mi sono venuti dubbi sulla reale possibilità di realizzare un virus con la VT non rilevabile, come BluePill (chissà se c'è un doppio senso voluto

).
Personalmente non saprei se sia possibile, comunque per esempio ipotizziamo questo scenario:
scopo --> voglio modificare a caso alcuni dati su un hard reale in cui sono contenuti tutti i dati del PC
realizzazione --> creo un virus che crea una macchina virtuale, quest'ultima tramite un driver creato apposta scrivo sul disco reale senza considerare il file system, ovviamente il sistema andrà in crash, tuttavia avrò realizzato il mio scopo di fare danni: sarebbe possibile fare ciò secondo voi?

La PARAvirtualizzazione ha bisogno di una mod al kernel (quindi solo per linux)o dell'estensione VT che permette di usare kernel non modificati(windows...);se non fosse possibile usare la PARAvirutalzizazione si puo emulare l'hardware usando la virtualizzazione,MOLTO piu lenta e necessita di driver appositi ma non necessita ne di VT ne di modifica kernel(nella PARAvirutalizzazione hai accesso DIRETTO all'hardware con decremento prestazionale del 3-5% medio).
La storia del virus virtualizzato non sta in piedi:
l'antivirus dovrebbe riconoscere gia l'eseguibile appena viene messo nella lista virus e poi è troppo complesso e senza senso.
Comunque il s.o. nella virtualizzazione è ancora "arbitro" del sistema e dovrebbe impedire accessi indesiderati al disco,per paravirtualizzazione penso sia veramente troppo complessa e insensata,un virus comune o un virus che sfrutti un'exploti sarebbe ancora piu efficace.
I virus al giorno d'oggi si limitano a trojan o derivati,un buon esempio di quello che dici te sono i rootkit,quelli si che sono efficaci e bastardi ma ce ne vuole per crearne uno!

k0nt3 · 08-07-2008, 09:21

l'hypervisor ha pieno accesso all'hardware e quindi può fare danni.

@plokko
ti sbagli, un antivirus non può riconoscere questo tipo di malware
il motivo è spiegato qui http://www.invisiblethings.org/paper...e-taxonomy.pdf

come spiega anche la ricercatrice però molto probabilmente questo tipo di virus non si farà vedere a breve termine perchè oggi già fatichiamo a combattere i virus di tipo I e II (come li chiama nel pdf) che sono senza dubbio più facili da implementare

berto1886 · 08-07-2008, 11:10

Quote:

Originariamente inviato da k0nt3

l'hypervisor ha pieno accesso all'hardware e quindi può fare danni.

Bello...

lio90 · 08-07-2008, 12:38

Quote:

Originariamente inviato da k0nt3

l'hypervisor ha pieno accesso all'hardware e quindi può fare danni.

direi proprio quello che ci voleva nei nostri sistemi...

plokko · 08-07-2008, 13:17

Quote:

Originariamente inviato da k0nt3

l'hypervisor ha pieno accesso all'hardware e quindi può fare danni.

@plokko
ti sbagli, un antivirus non può riconoscere questo tipo di malware
il motivo è spiegato qui http://www.invisiblethings.org/paper...e-taxonomy.pdf

come spiega anche la ricercatrice però molto probabilmente questo tipo di virus non si farà vedere a breve termine perchè oggi già fatichiamo a combattere i virus di tipo I e II (come li chiama nel pdf) che sono senza dubbio più facili da implementare

intendo che si puo bloccare l'eseguibile prima della sua installazione come si fa coi virus comuni,dei rootkit sono gia usciti e sono dannatamente difficili da rintracciare se installati ma oramai sono gia blacklistati dagli antivirus.

L'hypervisor ha pieno accesso al sistema solo se prima il s.o. primario gli da pieno accesso nell'istallazione,se il s.o. gli nega l'accesso non puo accederci;se dev'essere un virus distruttivo a sto punto avrebbe gia fatto danni con o senza hypervisor.

k0nt3 · 08-07-2008, 13:29

Quote:

Originariamente inviato da plokko

intendo che si puo bloccare l'eseguibile prima della sua installazione come si fa coi virus comuni,dei rootkit sono gia usciti e sono dannatamente difficili da rintracciare se installati ma oramai sono gia blacklistati dagli antivirus.

L'hypervisor ha pieno accesso al sistema solo se prima il s.o. primario gli da pieno accesso nell'istallazione,se il s.o. gli nega l'accesso non puo accederci;se dev'essere un virus distruttivo a sto punto avrebbe gia fatto danni con o senza hypervisor.

ho capito cosa intendi.
hai ragione allora, ma bisogna tenere conto del fatto che gli antivirus creano le firme dei virus solo dopo che i virus sono stati creati e quindi hanno già colpito (ci mancherebbe

), e anche che il software contiene sempre bug e quindi c'è sempre una potenziale porta aperta.
il motivo per cui questi hypervisor "cattivi" sono preoccupanti è che una volta che hanno infettato il sistema non è possibile rilevarli (o almeno non si è ancora riusciti a farlo).
l'unica via che si può percorrere è preinstallare un hypervisor "buono" che cerca di impedire a quelli "cattivi" di installarsi (e quindi in teoria si risolve anche il "problema" del TPM virtualizzato).
sicuramente andrà così, ma mi puzza di trusted computing in arrivo

ConteZero · 09-07-2008, 08:43

Un paio di precisazioni...

1. Si, un virus hypervisor ha accesso all'hardware, ma non ha i metodi per usare l'hardware. Se il driver di una stampante è 100K o l'hypervisor ha 100K per quella stampante o deve "passare" dal SO che stà "sotto" di lui. Tra l'altro un qualsiasi hardware è come un quaderno, lo usa una persona per volta e non puoi usarlo senza che l'altro se ne "accorga".
2. C'è sempre un modo per beccare un virus; io quando devo gestire una macchina potenzialmente infetta mi limito a lanciare un Windows XP con antivirus che ho su un disco USB, e con quello (quindi boot e sistema "pulito" per definizione) effettuo la scansione del disco; per quanto un virus possa provare (virtualizzazione o altro) a rendersi invisibile il suo codice fisicamente da qualche parte deve stare.
3. Gli hypervisor possono essere nestati (lo dice anche la tizia di bluepill) il che vuol dire che un hypervisor può essere "figlio" di un altro hypervisor; questo fa sì che un hypervisor possa mettersi "a monte" di un altro hypervisor. I programmi possono comunque "detectare" se la VT è in uso oppure no e penso che esista (visto che da bios è disabilitabile) la possibilità di "spegnere" le feature VT.

Per il resto le estensioni di virtualizzazione sono necessarie perché senza di esse o si usa la paravirtualizzazione tipo XEN (implica che ogni kernel virtuale sia al corrente di essere una macchina virtualizzata) o si usa l'emulazione stile VMWare (e penso che chiunque si renderebbe conto delle perdite prestazionali e dell'hardware "emulato").

Tornando a Blue pill e simili... quella roba è, essenzialmente, da rootkit.

Il giochetto è anche abbastanza semplice; si "infetta" il sistema (facile a dirsi ma difficile a farsi, infatti prima di diventare hypervisor un programma è un comune programma "sottomesso" al SO) e poi si usa l'hypervisor per cambiare i "diritti" di un programma terzo che gira sul medesimo SO.
L'hypervisor ha accesso alla memoria, anche alle aree riservate al sistema operativo (tra cui la tabella dei processi) per cui, una volta "individuato" il programma "complice" l'hypervisor svolge la semplice funzione di "elevargli" i diritti (in pratica cambia il suo "status"), questo ed altri eventuali giochini "cosmetici" per rendere più difficile l'individuazione propria e del complice.
L'hypervisor in sé è estremamente limitato nelle sue interazioni con il SO, per questo per funzionare al meglio ha bisogno di un "complice" che sia a livello dell'SO stesso (un "avatar"), inoltre và notato come essere hypervisor non significa essere "immortali"; un hypervisor rimane lì fino al successivo riavvio... per "perpetuarsi" l'hypervisor deve far sì che il suo codice venga caricato all'avvio e questo implica che, da qualche parte, l'hypervisor deve mettere il suo "corpo" (il suo codice), e che quel "corpo" dev'essere raggiungibile dal SO stesso.
Essendo "raggiungibile" è anche, a sua volta, tracciabile.

Chiudendo il cerchio mentre un virus normale ha un solo componente (il virus stesso) un virus hypervisor ha due componenti differenti, un hypervisor ed il complice... per il resto è un virus come gli altri.
La "differenza" fra virus VT e virus normali è che un virus VT è "irrintracciabile"; vero, ma solo per la sua parte hypervisor mentre il "complice" ed il suo "codice" sono tracciabilissimi... inoltre il discorso è un pochino "monco" perché gira intorno all'idea che un antivirus dovrebbe essere in grado di rintracciare un virus girando sulla macchina nella quale il virus stesso è in esecuzione, ma in questa situazione sono già molti i virus in grado di "difendersi" (a partire dal gromozon) e/o rendersi introvabili.

k0nt3 · 09-07-2008, 09:32

@ConteZero
sono sostanzialmente daccordo con quello che hai scritto

voglio solo aggiungere un paio di cose:
- esiste un'istruzione che permette sapere se c'è un software in esecuzione nell'hardware di virtualizzazione, ma l'hypervisor può intercettarla e cammuffare la risposta. inoltre questo non è un modo per rilevare il virus, infatti può benissimo essere che ci sia del software "buono" che necessita di essere virtualizzato (questo con il passare del tempo sarà sempre più probabile finchè non diventerà indispensabile virtualizzare qualcosa per l'uso comune del pc (forse tra 5-6 anni)). non c'è invece un modo per sapere COSA gira nell'hardware di virtualizzazione

ps. disabilitare la virtualizzazione è come staccare il cavo di rete (ora si che siamo sicuri.. ma cosa me ne faccio del pc?

parlo sempre pensando al futuro, cioè quando sarà indispensabile)

- per sopravvivere al reboot un hypervisor potrebbe usare le solite tecniche già note agli attuali virus, ma questo comporterebbe tracce della sua presenza. in ogni caso di default windows vista non si spegne, ma si iberna

(sarà un caso?)
se supponiamo che il virus non necessiti di una componente infiltrata nel SO, però non c'è modo di sapere se c'è stato, c'è oppure no. facendo il boot con una chiavetta usb non troveremmo niente, ma quando si risveglia dall'ibernazione magicamente ricomparirebbe

- come hai detto ci sono virus attuali che riescono già ad essere "invisibili", ma questi almeno dal punto di vista teorico sono rilevabili perchè modificano qualche aspetto del sistema che li ospita. un virus puramente hypervisor invece no! e sono daccordo che se avesse un "complice" sarebbe rintracciabile quanto un comune virus.. ma non possiamo sapere cosa ci riserva il futuro, magari si riesce a trovare un modo per farli funzionare anche senza un complice (es. implementando l'astrazione necessaria per l'hardware e cammuffando le risposte che tornano al SO in modo che non si accorga della sua presenza).
questa ovviamente è teoria, ma io ho il presentimento che diventerà realtà (magari non ora che non ce ne è necessità, ma tra qualche anno)

plokko · 09-07-2008, 10:02

Quote:

Originariamente inviato da k0nt3

ho capito cosa intendi.
hai ragione allora, ma bisogna tenere conto del fatto che gli antivirus creano le firme dei virus solo dopo che i virus sono stati creati e quindi hanno già colpito (ci mancherebbe

), e anche che il software contiene sempre bug e quindi c'è sempre una potenziale porta aperta.
il motivo per cui questi hypervisor "cattivi" sono preoccupanti è che una volta che hanno infettato il sistema non è possibile rilevarli (o almeno non si è ancora riusciti a farlo).
l'unica via che si può percorrere è preinstallare un hypervisor "buono" che cerca di impedire a quelli "cattivi" di installarsi (e quindi in teoria si risolve anche il "problema" del TPM virtualizzato).
sicuramente andrà così, ma mi puzza di trusted computing in arrivo

basta semplicemente riportare all'utente comportamenti strani tipo utilizzo di VT e chiedere cosa fare o fare un blocco della VT se non usata.
Per il resto un virus del genere sarebbe talmente complesso che sarebbe riutilizzato una volta sola permettendo all'euristica di rintracciarlo anche dopo modifiche radicali.

Sono anche d'accordo con contezero:come gia ho detto un virus del genere sarebbe troppo complesso e grosso.

P.S.:i rootkit sono difficilissimi da rintracciare ma non impossibili,ci sono gia antivirus che lo fanno e riescono a riparare i danni;basta controllare l'mbr e cambiamenti nella fase di boot.

06-07-2008, 23:15	#6965
ConteZero Senior Member Iscritto dal: Dec 2006 Città: Trapani (TP) Messaggi: 3098	Torna tu quando riuscirai a scrivermi un bel virus che mi scrive un file su un hard disk in un formato sconosciuto all'hypervisor (e senza usare le API del guest). It got electrolytes. __________________ A casa ho almeno sette PC, in firma non ci stanno

06-07-2008, 23:28	#6968
ConteZero Senior Member Iscritto dal: Dec 2006 Città: Trapani (TP) Messaggi: 3098	Quello è "errore mio". L'ultima volta che ho controllato le informazioni su TPM non erano ancora disponibili le specifiche e si diceva che sarebbero state rese solo sotto NDA. Probabilmente hanno cambiato policy. __________________ A casa ho almeno sette PC, in firma non ci stanno

09-07-2008, 08:43	#6978
ConteZero Senior Member Iscritto dal: Dec 2006 Città: Trapani (TP) Messaggi: 3098	Un paio di precisazioni... 1. Si, un virus hypervisor ha accesso all'hardware, ma non ha i metodi per usare l'hardware. Se il driver di una stampante è 100K o l'hypervisor ha 100K per quella stampante o deve "passare" dal SO che stà "sotto" di lui. Tra l'altro un qualsiasi hardware è come un quaderno, lo usa una persona per volta e non puoi usarlo senza che l'altro se ne "accorga". 2. C'è sempre un modo per beccare un virus; io quando devo gestire una macchina potenzialmente infetta mi limito a lanciare un Windows XP con antivirus che ho su un disco USB, e con quello (quindi boot e sistema "pulito" per definizione) effettuo la scansione del disco; per quanto un virus possa provare (virtualizzazione o altro) a rendersi invisibile il suo codice fisicamente da qualche parte deve stare. 3. Gli hypervisor possono essere nestati (lo dice anche la tizia di bluepill) il che vuol dire che un hypervisor può essere "figlio" di un altro hypervisor; questo fa sì che un hypervisor possa mettersi "a monte" di un altro hypervisor. I programmi possono comunque "detectare" se la VT è in uso oppure no e penso che esista (visto che da bios è disabilitabile) la possibilità di "spegnere" le feature VT. Per il resto le estensioni di virtualizzazione sono necessarie perché senza di esse o si usa la paravirtualizzazione tipo XEN (implica che ogni kernel virtuale sia al corrente di essere una macchina virtualizzata) o si usa l'emulazione stile VMWare (e penso che chiunque si renderebbe conto delle perdite prestazionali e dell'hardware "emulato"). Tornando a Blue pill e simili... quella roba è, essenzialmente, da rootkit. Il giochetto è anche abbastanza semplice; si "infetta" il sistema (facile a dirsi ma difficile a farsi, infatti prima di diventare hypervisor un programma è un comune programma "sottomesso" al SO) e poi si usa l'hypervisor per cambiare i "diritti" di un programma terzo che gira sul medesimo SO. L'hypervisor ha accesso alla memoria, anche alle aree riservate al sistema operativo (tra cui la tabella dei processi) per cui, una volta "individuato" il programma "complice" l'hypervisor svolge la semplice funzione di "elevargli" i diritti (in pratica cambia il suo "status"), questo ed altri eventuali giochini "cosmetici" per rendere più difficile l'individuazione propria e del complice. L'hypervisor in sé è estremamente limitato nelle sue interazioni con il SO, per questo per funzionare al meglio ha bisogno di un "complice" che sia a livello dell'SO stesso (un "avatar"), inoltre và notato come essere hypervisor non significa essere "immortali"; un hypervisor rimane lì fino al successivo riavvio... per "perpetuarsi" l'hypervisor deve far sì che il suo codice venga caricato all'avvio e questo implica che, da qualche parte, l'hypervisor deve mettere il suo "corpo" (il suo codice), e che quel "corpo" dev'essere raggiungibile dal SO stesso. Essendo "raggiungibile" è anche, a sua volta, tracciabile. Chiudendo il cerchio mentre un virus normale ha un solo componente (il virus stesso) un virus hypervisor ha due componenti differenti, un hypervisor ed il complice... per il resto è un virus come gli altri. La "differenza" fra virus VT e virus normali è che un virus VT è "irrintracciabile"; vero, ma solo per la sua parte hypervisor mentre il "complice" ed il suo "codice" sono tracciabilissimi... inoltre il discorso è un pochino "monco" perché gira intorno all'idea che un antivirus dovrebbe essere in grado di rintracciare un virus girando sulla macchina nella quale il virus stesso è in esecuzione, ma in questa situazione sono già molti i virus in grado di "difendersi" (a partire dal gromozon) e/o rendersi introvabili. __________________ A casa ho almeno sette PC, in firma non ci stanno Ultima modifica di ConteZero : 09-07-2008 alle 09:04.

06-07-2008, 23:18	#6967
k0nt3 Senior Member Iscritto dal: Dec 2005 Messaggi: 7239	l'unica cosa che vorrei sapere è dove sta scritto che le specifiche del TPM sono rilasciate sotto nda

07-07-2008, 20:59	#6970
Alex_80 Senior Member Iscritto dal: Jun 2007 Messaggi: 5795	La virtualizzazione hardware per essere eseguita su CPU Intel è obbligatoria la Intel VT? Nella virtualizzazione software ci sono gli stessi problemi a individuare un virus che ha creato una macchina virtuale per nascondersi? Ho finito di leggere questi documenti http://www.hwupgrade.it/forum/showpo...66&postcount=9; le spiegazioni per un 80% le ho capite, mi perdo un po' con le sigle, comunque i concetti li ho capiti. Dalla discussione di ConteZero e k0nt3 mi sono venuti dubbi sulla reale possibilità di realizzare un virus con la VT non rilevabile, come BluePill (chissà se c'è un doppio senso voluto ). Personalmente non saprei se sia possibile, comunque per esempio ipotizziamo questo scenario: scopo --> voglio modificare a caso alcuni dati su un hard reale in cui sono contenuti tutti i dati del PC realizzazione --> creo un virus che crea una macchina virtuale, quest'ultima tramite un driver creato apposta scrivo sul disco reale senza considerare il file system, ovviamente il sistema andrà in crash, tuttavia avrò realizzato il mio scopo di fare danni: sarebbe possibile fare ciò secondo voi?

08-07-2008, 09:07	#6971
plokko Senior Member Iscritto dal: Oct 2005 Messaggi: 308	...come se chi volesse veramente infrangere la legge non riuscisse a creare "modchip" o mod software per aggirare il processo o ancora peggio riuscire a identificarsi come qualcun'altro per rubare dati o crearsi un'alibi o incolpare qualcun'altro.

08-07-2008, 09:21	#6973
k0nt3 Senior Member Iscritto dal: Dec 2005 Messaggi: 7239	l'hypervisor ha pieno accesso all'hardware e quindi può fare danni. @plokko ti sbagli, un antivirus non può riconoscere questo tipo di malware il motivo è spiegato qui http://www.invisiblethings.org/paper...e-taxonomy.pdf come spiega anche la ricercatrice però molto probabilmente questo tipo di virus non si farà vedere a breve termine perchè oggi già fatichiamo a combattere i virus di tipo I e II (come li chiama nel pdf) che sono senza dubbio più facili da implementare

09-07-2008, 09:32	#6979
k0nt3 Senior Member Iscritto dal: Dec 2005 Messaggi: 7239	@ConteZero sono sostanzialmente daccordo con quello che hai scritto voglio solo aggiungere un paio di cose: - esiste un'istruzione che permette sapere se c'è un software in esecuzione nell'hardware di virtualizzazione, ma l'hypervisor può intercettarla e cammuffare la risposta. inoltre questo non è un modo per rilevare il virus, infatti può benissimo essere che ci sia del software "buono" che necessita di essere virtualizzato (questo con il passare del tempo sarà sempre più probabile finchè non diventerà indispensabile virtualizzare qualcosa per l'uso comune del pc (forse tra 5-6 anni)). non c'è invece un modo per sapere COSA gira nell'hardware di virtualizzazione ps. disabilitare la virtualizzazione è come staccare il cavo di rete (ora si che siamo sicuri.. ma cosa me ne faccio del pc? parlo sempre pensando al futuro, cioè quando sarà indispensabile) - per sopravvivere al reboot un hypervisor potrebbe usare le solite tecniche già note agli attuali virus, ma questo comporterebbe tracce della sua presenza. in ogni caso di default windows vista non si spegne, ma si iberna (sarà un caso?) se supponiamo che il virus non necessiti di una componente infiltrata nel SO, però non c'è modo di sapere se c'è stato, c'è oppure no. facendo il boot con una chiavetta usb non troveremmo niente, ma quando si risveglia dall'ibernazione magicamente ricomparirebbe - come hai detto ci sono virus attuali che riescono già ad essere "invisibili", ma questi almeno dal punto di vista teorico sono rilevabili perchè modificano qualche aspetto del sistema che li ospita. un virus puramente hypervisor invece no! e sono daccordo che se avesse un "complice" sarebbe rintracciabile quanto un comune virus.. ma non possiamo sapere cosa ci riserva il futuro, magari si riesce a trovare un modo per farli funzionare anche senza un complice (es. implementando l'astrazione necessaria per l'hardware e cammuffando le risposte che tornano al SO in modo che non si accorga della sua presenza). questa ovviamente è teoria, ma io ho il presentimento che diventerà realtà (magari non ora che non ce ne è necessità, ma tra qualche anno)

Strumenti
Mostra una versione stampabile Invia questa pagina per email