Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale
Ricarica la Pagina Blue Pill virtualisation rootkit freely available

MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro
MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro
Wireless 2.4 GHz, Bluetooth 5.4, cancellazione attiva del rumore, design pieghevole e un'autonomia che mette in imbarazzo prodotti che costano il doppio. Le Maestro 500 non eccellono in nulla, ma offrono tutto. E a questo prezzo è difficile chiedere di più
NL-LC1 è il primo dissipatore a liquido AIO di Noctua: silenzio è la parola d'ordine
NL-LC1 è il primo dissipatore a liquido AIO di Noctua: silenzio è la parola d'ordine
Dopo anni di attesa e una lunga fase di sviluppo, Noctua entra nel mercato dei dissipatori a liquido AIO con la nuova serie NL-LC1. Forte dell'esperienza maturata nel raffreddamento ad aria, l'azienda austriaca promette di portare la propria filosofia fatta di qualità costruttiva, attenzione ai dettagli e silenziosità anche in questo segmento. Abbiamo provato il nuovo sistema per scoprire se riesce a distinguersi in un mercato ormai molto competitivo.
Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super
Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super
Arrivato sul mercato italiano a fine marzo, la serie Boox Go 10.3 (Gen II) offre Android 15, penna da 4096 livelli e retroilluminazione opzionale (nel modello da noi provato, Lumi, presente). La serie si compone di due tablet ePaper che fanno da e-reader, blocco note digitale e persino browser, tutto a un prezzo che fa dimenticare i prodotti di brand più blasonati
Dopo la RAM. Framework annuncia l'aumento degli SSD: 'i prezzi precedenti non sono sostenibili'
Google Home Speaker ufficiale: è il primo progettato per funzionare con Gemini
Spotify: i nomi utente stanno per diventare un po' più inutili: le novità dal primo settembre
Il limite vero dei data center AI sono gli operai: Google stanzia 50 milioni di dollari per l'edilizia specializzata
AMD conferma i nuovi Threadripper: Zen 6, 2 nanometri e più core per i professionisti
Stop all'ADSL per WindTre: continua la migrazione verso le nuove reti
HPE punta sull'IA agentica e dichiara guerra a VMware
macOS avvisa quando si incolla un comando sospetto in Terminal: Apple spiega la difesa contro ClickFix
Everpure ridisegna lo storage per l’IA: meno silos, più governance, dati pronti per gli agenti
NVIDIA RTX Remix 1.5: realizzare remaster è possibile anche per chi non conosce Python e C++
Come configurare Windows 11 like a pro, in un click: rilasciato Windows Developer Config
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 13-08-2007, 09:47   #1
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Blue Pill virtualisation rootkit freely available
Quote:
Blue Pill virtualisation rootkit freely available

Rootkit specialist Joanna Rutkowska has provided open access to the source code of a new version of the virtualisation rootkit Blue Pill, which has been rewritten from scratch. She presented a prototype of the rootkit at the Black Hat conference in Las Vegas in 2006. The new version of Blue Pill has not just been revised, it also offers new functionality and, according to the description, relies on the virtualisation support offered by modern processors (HVM, hardware virtualised machines).

It is claimed that the new Blue Pill can migrate Windows into a virtual environment whilst it is running; without restarting, and invisibly to the user. This would make it undetectable from within the system using current detection methods. The rootkit supports AMD's SVM/Pacifica virtualisation to infiltrate a hypervisor into Windows whilst it is running, but is not yet able to utilise Intel's VT-x virtualisation. Blue Pill now also includes several functions specifically aimed at hindering recognition by rootkit detectors. It is apparently able to support nested hypervisors and to manipulate Time Stamp Clock Register (TSCR) readings to thwart detection of stolen CPU cycles: a technique known as RDTSC cheating.

In rebuilding Blue Pill from scratch, Rutkowska and co-author Alexander Tereshkin appear to be reacting to criticism from Thomas Ptacek of Matasano Security, Nate Lawson of Root Labs and Peter Ferrie of Symantec, who decline to believe that Blue Pill is undetectable and recently challenged Rutkowska to a competition, which she, however, neatly sidestepped. But the new version does have limitations. For example, Microsoft's Virtual PC 2007 crashes when running under Blue Pill, so first blood goes to Ptacek, Lawson and Ferrie. In addition, the implementation of RDTSC cheating is still somewhat rudimentary.

The version currently available for download can apparently only be compiled under Windows using the Driver Development Kit (NTDDK).
Fonte: http://www.heise-security.co.uk/news/93761/from/atom10

Ecco qui il link che riporta al thread di Wilders Security su cui si sta parlando di tutto questo.

http://www.wilderssecurity.com/showthread.php?t=181812

Allo stato attuale non è ancora chiaro quali HIPS siano in grado di rilevare l'installazione del driver rootkit virtuale, e il fatto che anche Rootkit Unhooker pare non sia in grado di rilevarlo aggrava ancora di più la situazione. Infatti, dato che il codice sorgente è disponibile liberamente, chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?

Regards
Ultima modifica di pistolino : 13-08-2007 alle 09:52.
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 12:45   #2
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
http://www.matasano.com/log/wp-conte...r-nate-tom.pdf

Quote:
chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?
Si perchè pensi che tutti siano in grado di fare una cosa simile? poi i metodi per rilevarli ci sono, leggi il pdf linkato

Quote:
Nevertheless, the published detection methods have not prevented Joanna Rutkowska and Alexander Tereshkin from publishing the source code of New Blue Pill hardware virtualization rootkit. Unfortunately, this will allow less skilled members of the malware writing community to recompile the code and create new rootkits. Despite the hype and the opportunity I reckon that the hardware virtualization rootkits will stay outside the malware writer's arsenal for the foreseeable future for at least couple of reasons:
* complexity - malware writers can achieve their goals using much less sophisticated techniques.
* portability - Blue Pill is designed to work on 64-bit AMD processors which limits the coverage often required by malware.

Oh, I forgot to mention one more thing. Any malware, including hardware-assisted virtualization rootkits has to arrive to a computer before it is activated. If your endpoint security software is installed, it will have a chance of detecting it as it arrives to the system. With the recent advances in proactive protection you may already be protected against hardware-assisted virtualization rootkits.
Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 16:17   #3
sampei.nihira
Senior Member
 
Iscritto dal: Aug 2006
Messaggi: 4350
Ho letto diversi articoli su Rutkowska.
Anche quello che hai messo all'attenzione tu Pistolino.
In ambito teorico,anche se io sono quello meno in grado di giudicarla ed anche in questo caso lungi dal volerlo fare, mi sembra forte.

Ma non vorrei che ha visto troppo " MATRIX " ed è rimasta sconcertata !!

(Ricordate ? Pillola blu oppure rossa ? )
sampei.nihira è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 13:39   #4
monkey island
Senior Member
 
L'Avatar di monkey island
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2442
E' una programmatrice con i controfiocchi
monkey island è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 14:09   #5
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Che aspetti a sposarla?

Regards
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 14:16   #6
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Non ha scoperto niente di nuovo, questo post
http://www.avertlabs.com/research/bl...lized-malware/
è abbastanza interessante

Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 15:15   #7
monkey island
Senior Member
 
L'Avatar di monkey island
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2442
Quote:
Originariamente inviato da pistolino Guarda i messaggi
Che aspetti a sposarla?

Regards
Già fatto

Ultima modifica di monkey island : 14-08-2007 alle 19:55.
monkey island è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

MSI Maestro 500 Wireless: ANC e 90 ore di autonomia a 70 euro MSI Maestro 500 Wireless: ANC e 90 ore di autono...
NL-LC1 è il primo dissipatore a liquido AIO di Noctua: silenzio è la parola d'ordine NL-LC1 è il primo dissipatore a liquido A...
Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con ...
Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming Gigabyte MO32U24 OLED: il 4K a 240Hz su un panne...
Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh Recensione realme 16 5G: lo smartphone con Selfi...
Dopo la RAM. Framework annuncia l'aument...
Google Home Speaker ufficiale: è il prim...
Spotify: i nomi utente stanno per divent...
Il limite vero dei data center AI sono g...
AMD conferma i nuovi Threadripper: Zen 6...
Stop all'ADSL per WindTre: continua la m...
HPE punta sull'IA agentica e dichiara gu...
macOS avvisa quando si incolla un comand...
Everpure ridisegna lo storage per l’IA: ...
NVIDIA RTX Remix 1.5: realizzare remaste...
Come configurare Windows 11 like a pro, ...
Windows 11 cambia finalmente la gestione...
Arianespace: lanciata la missione Amazon...
iPhone 17 escluso dalle funzioni AI più ...
Rokarolla, il trojan Android che ruba cr...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 17:17.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v