Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale
Ricarica la Pagina Blue Pill virtualisation rootkit freely available

Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più
Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più
Dreame X60 Pro Ultra Complete implementa due bracci estensibili, per spazzola e moccio, che si spingono ben oltre quanto visto sino ad oggi permettendo una pulizia di casa ancor più capillare e precisa
TCL 65C8L, la recensione del SQD-Mini LED da 4400 nit misurati
TCL 65C8L, la recensione del SQD-Mini LED da 4400 nit misurati
La tecnologia SQD-Mini LED di TCL arriva sul taglio da 65 pollici con la serie C8L: 2040 zone, pannello WHVA 2.0 e un picco che alle rilevazioni delle sonde tocca i 4400 nit nel profilo Filmmaker e un HDR quasi perfetto
MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro
MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro
Wireless 2.4 GHz, Bluetooth 5.4, cancellazione attiva del rumore, design pieghevole e un'autonomia che mette in imbarazzo prodotti che costano il doppio. Le Maestro 500 non eccellono in nulla, ma offrono tutto. E a questo prezzo è difficile chiedere di più
La PS6 si farà attendere: il lancio potrebbe essere stato posticipato ancora
OnePlus non sente la crisi delle memorie: la nuova versione del 15R ha un quantitativo maggiore di RAM
I futuri iPhone 18 Pro potrebbero costare molto di più dei 17 Pro: alcune stime anticipano i prezzi
Bosch eBike Systems MY2027: a sorpresa arriva il motore Hub Line. Lo abbiamo provato
Amazon, le top 5 offerte del weekend per tutti, senza essere membri Prime. Al 2 e al 4 occasioni veramente uniche
Sesto giorno di Prime Day anticipato Amazon: 5 novità con sconti reali mai visti prima, Amazon scatenata
La scopa elettrica Roborock F25 Ultra scende a 499€ con Prime: vapore a 180 °C, lavaggio a 86 °C e asciugatura rapida in 5 minuti
Ho messo uno studio video con Intelligenza Artificiale dentro una scatola grande come un libro
Dreame Aqua10 Ultra Roller Complete punta al top: acqua sempre pulita, 30.000 Pa e offerta Prime a 799€
Roborock Saros 20 Set sembra fuori categoria: 36.000Pa, ostacoli fino a 8,8 cm e coupon per scendere a 949,05€
Samsung Galaxy Z Fold 8: prezzi in salita a causa della crisi delle memorie
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 13-08-2007, 09:47   #1
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Blue Pill virtualisation rootkit freely available
Quote:
Blue Pill virtualisation rootkit freely available

Rootkit specialist Joanna Rutkowska has provided open access to the source code of a new version of the virtualisation rootkit Blue Pill, which has been rewritten from scratch. She presented a prototype of the rootkit at the Black Hat conference in Las Vegas in 2006. The new version of Blue Pill has not just been revised, it also offers new functionality and, according to the description, relies on the virtualisation support offered by modern processors (HVM, hardware virtualised machines).

It is claimed that the new Blue Pill can migrate Windows into a virtual environment whilst it is running; without restarting, and invisibly to the user. This would make it undetectable from within the system using current detection methods. The rootkit supports AMD's SVM/Pacifica virtualisation to infiltrate a hypervisor into Windows whilst it is running, but is not yet able to utilise Intel's VT-x virtualisation. Blue Pill now also includes several functions specifically aimed at hindering recognition by rootkit detectors. It is apparently able to support nested hypervisors and to manipulate Time Stamp Clock Register (TSCR) readings to thwart detection of stolen CPU cycles: a technique known as RDTSC cheating.

In rebuilding Blue Pill from scratch, Rutkowska and co-author Alexander Tereshkin appear to be reacting to criticism from Thomas Ptacek of Matasano Security, Nate Lawson of Root Labs and Peter Ferrie of Symantec, who decline to believe that Blue Pill is undetectable and recently challenged Rutkowska to a competition, which she, however, neatly sidestepped. But the new version does have limitations. For example, Microsoft's Virtual PC 2007 crashes when running under Blue Pill, so first blood goes to Ptacek, Lawson and Ferrie. In addition, the implementation of RDTSC cheating is still somewhat rudimentary.

The version currently available for download can apparently only be compiled under Windows using the Driver Development Kit (NTDDK).
Fonte: http://www.heise-security.co.uk/news/93761/from/atom10

Ecco qui il link che riporta al thread di Wilders Security su cui si sta parlando di tutto questo.

http://www.wilderssecurity.com/showthread.php?t=181812

Allo stato attuale non è ancora chiaro quali HIPS siano in grado di rilevare l'installazione del driver rootkit virtuale, e il fatto che anche Rootkit Unhooker pare non sia in grado di rilevarlo aggrava ancora di più la situazione. Infatti, dato che il codice sorgente è disponibile liberamente, chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?

Regards
Ultima modifica di pistolino : 13-08-2007 alle 09:52.
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 12:45   #2
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
http://www.matasano.com/log/wp-conte...r-nate-tom.pdf

Quote:
chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?
Si perchè pensi che tutti siano in grado di fare una cosa simile? poi i metodi per rilevarli ci sono, leggi il pdf linkato

Quote:
Nevertheless, the published detection methods have not prevented Joanna Rutkowska and Alexander Tereshkin from publishing the source code of New Blue Pill hardware virtualization rootkit. Unfortunately, this will allow less skilled members of the malware writing community to recompile the code and create new rootkits. Despite the hype and the opportunity I reckon that the hardware virtualization rootkits will stay outside the malware writer's arsenal for the foreseeable future for at least couple of reasons:
* complexity - malware writers can achieve their goals using much less sophisticated techniques.
* portability - Blue Pill is designed to work on 64-bit AMD processors which limits the coverage often required by malware.

Oh, I forgot to mention one more thing. Any malware, including hardware-assisted virtualization rootkits has to arrive to a computer before it is activated. If your endpoint security software is installed, it will have a chance of detecting it as it arrives to the system. With the recent advances in proactive protection you may already be protected against hardware-assisted virtualization rootkits.
Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 16:17   #3
sampei.nihira
Senior Member
 
Iscritto dal: Aug 2006
Messaggi: 4350
Ho letto diversi articoli su Rutkowska.
Anche quello che hai messo all'attenzione tu Pistolino.
In ambito teorico,anche se io sono quello meno in grado di giudicarla ed anche in questo caso lungi dal volerlo fare, mi sembra forte.

Ma non vorrei che ha visto troppo " MATRIX " ed è rimasta sconcertata !!

(Ricordate ? Pillola blu oppure rossa ? )
sampei.nihira è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 13:39   #4
monkey island
Senior Member
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2444
E' una programmatrice con i controfiocchi
monkey island è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 14:09   #5
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Che aspetti a sposarla?

Regards
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 14:16   #6
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Non ha scoperto niente di nuovo, questo post
http://www.avertlabs.com/research/bl...lized-malware/
è abbastanza interessante

Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 15:15   #7
monkey island
Senior Member
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2444
Quote:
Originariamente inviato da pistolino Guarda i messaggi
Che aspetti a sposarla?

Regards
Già fatto

Ultima modifica di monkey island : 14-08-2007 alle 19:55.
monkey island è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete: i bracci si esten...
TCL 65C8L, la recensione del SQD-Mini LED da 4400 nit misurati TCL 65C8L, la recensione del SQD-Mini LED da 440...
MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro MSI Maestro 500 Wireless: ANC e 90 ore di autono...
NL-LC1 è il primo dissipatore a liquido AIO di Noctua: silenzio è la parola d'ordine NL-LC1 è il primo dissipatore a liquido A...
Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con ...
La PS6 si farà attendere: il lanc...
OnePlus non sente la crisi delle memorie...
I futuri iPhone 18 Pro potrebbero costar...
Bosch eBike Systems MY2027: a sorpresa a...
Amazon, le top 5 offerte del weekend per...
Sesto giorno di Prime Day anticipato Ama...
La scopa elettrica Roborock F25 Ultra sc...
Ho messo uno studio video con Intelligen...
Dreame Aqua10 Ultra Roller Complete punt...
Roborock Saros 20 Set sembra fuori categ...
Samsung Galaxy Z Fold 8: prezzi in salit...
NVIDIA mostra una comunità di rob...
Sony annuncia LYTIA L910, arriva il sens...
Ericsson, il 5G è l’infrastruttur...
Marvell punta tutto su TSMC A14: sar&agr...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 14:46.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v