Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale
Ricarica la Pagina Blue Pill virtualisation rootkit freely available

I nuovi schermi QD-OLED di quinta generazione di MSI, per i gamers
I nuovi schermi QD-OLED di quinta generazione di MSI, per i gamers
MSI continua ad investire nel proporre schermi pensati per rispondere alle esigenze dei videogiocatori, utilizzando la quinta generazione di tecnologia QD-OLED sviluppata da Samsung. Il modello MGP 341CQR QD-OLED X36 è lpultima novità al debutto in concomitanza con il CES 2026, uno schermo curvo di ampia risoluzione pensato per i videogiocatori più esigenti
Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria
Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria
vivo X300 Pro rappresenta un'evoluzione misurata della serie fotografica del produttore cinese, con un sistema di fotocamere migliorato, chipset Dimensity 9500 di ultima generazione e l'arrivo dell'interfaccia OriginOS 6 anche sui modelli internazionali. La scelta di limitare la batteria a 5.440mAh nel mercato europeo, rispetto ai 6.510mAh disponibili altrove, fa storcere un po' il naso
Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo
Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo
Lenovo Legion Go 2 è la nuova handheld PC gaming con processore AMD Ryzen Z2 Extreme (8 core Zen 5/5c, GPU RDNA 3.5 16 CU) e schermo OLED 8,8" 1920x1200 144Hz. È dotata anche di controller rimovibili TrueStrike con joystick Hall effect e una batteria da 74Wh. Rispetto al dispositivo che l'ha preceduta, migliora ergonomia e prestazioni a basse risoluzioni, ma pesa 920g e costa 1.299€ nella configurazione con 32GB RAM/1TB SSD e Z2 Extreme
Amazon, tutte le offerte e qualche novità del weekend, per risparmiare è sempre il momento giusto
Sedie gaming in offerta su Amazon: design e prezzi bassissimi (da 69€) per smart working e gioco
Scope elettriche in offerta Amazon: modelli potenti e accessoriati per pulire casa spendendo pochissimo
Ricarica EV fino a 22 kW spendendo poco: queste wallbox portatili sono un affare su Amazon
Costa solo 139€ ma fa tutto: Lefant M330 Pro è il robot aspirapolvere low cost da non sottovalutare
Amazon Haul spinge sul risparmio: sconti automatici fino al 10% e spedizione gratis da 10€
Oral-B iO in offerta su Amazon: maxi sconti su spazzolini elettrici e testine originali
I cosmonauti avrebbero riparato tutte le perdite del segmento russo della Stazione Spaziale Internazionale
Artemis II: la NASA conferma il lancio della missione con equipaggio verso la Luna per il 6 febbraio 2026
Il CEO di Embrak Studios difende l'uso della tecnologia text-to-speech con IA in ARC Raiders
Il Trump Phone è sempre più un mistero: rinviato ancora il lancio
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 13-08-2007, 10:47   #1
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Blue Pill virtualisation rootkit freely available
Quote:
Blue Pill virtualisation rootkit freely available

Rootkit specialist Joanna Rutkowska has provided open access to the source code of a new version of the virtualisation rootkit Blue Pill, which has been rewritten from scratch. She presented a prototype of the rootkit at the Black Hat conference in Las Vegas in 2006. The new version of Blue Pill has not just been revised, it also offers new functionality and, according to the description, relies on the virtualisation support offered by modern processors (HVM, hardware virtualised machines).

It is claimed that the new Blue Pill can migrate Windows into a virtual environment whilst it is running; without restarting, and invisibly to the user. This would make it undetectable from within the system using current detection methods. The rootkit supports AMD's SVM/Pacifica virtualisation to infiltrate a hypervisor into Windows whilst it is running, but is not yet able to utilise Intel's VT-x virtualisation. Blue Pill now also includes several functions specifically aimed at hindering recognition by rootkit detectors. It is apparently able to support nested hypervisors and to manipulate Time Stamp Clock Register (TSCR) readings to thwart detection of stolen CPU cycles: a technique known as RDTSC cheating.

In rebuilding Blue Pill from scratch, Rutkowska and co-author Alexander Tereshkin appear to be reacting to criticism from Thomas Ptacek of Matasano Security, Nate Lawson of Root Labs and Peter Ferrie of Symantec, who decline to believe that Blue Pill is undetectable and recently challenged Rutkowska to a competition, which she, however, neatly sidestepped. But the new version does have limitations. For example, Microsoft's Virtual PC 2007 crashes when running under Blue Pill, so first blood goes to Ptacek, Lawson and Ferrie. In addition, the implementation of RDTSC cheating is still somewhat rudimentary.

The version currently available for download can apparently only be compiled under Windows using the Driver Development Kit (NTDDK).
Fonte: http://www.heise-security.co.uk/news/93761/from/atom10

Ecco qui il link che riporta al thread di Wilders Security su cui si sta parlando di tutto questo.

http://www.wilderssecurity.com/showthread.php?t=181812

Allo stato attuale non è ancora chiaro quali HIPS siano in grado di rilevare l'installazione del driver rootkit virtuale, e il fatto che anche Rootkit Unhooker pare non sia in grado di rilevarlo aggrava ancora di più la situazione. Infatti, dato che il codice sorgente è disponibile liberamente, chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?

Regards
Ultima modifica di pistolino : 13-08-2007 alle 10:52.
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 13:45   #2
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
http://www.matasano.com/log/wp-conte...r-nate-tom.pdf

Quote:
chiunque sappia programmare potrebbe costruirci sopra qualche variante altrettanto micidiale e utlizzarla per scopi malevoli, consapevole che le definizioni antivirus non potranno mai fare nulla contro Blue Pill...che sia la fine dei sistemi di rilevazione basati su signatures?
Si perchè pensi che tutti siano in grado di fare una cosa simile? poi i metodi per rilevarli ci sono, leggi il pdf linkato

Quote:
Nevertheless, the published detection methods have not prevented Joanna Rutkowska and Alexander Tereshkin from publishing the source code of New Blue Pill hardware virtualization rootkit. Unfortunately, this will allow less skilled members of the malware writing community to recompile the code and create new rootkits. Despite the hype and the opportunity I reckon that the hardware virtualization rootkits will stay outside the malware writer's arsenal for the foreseeable future for at least couple of reasons:
* complexity - malware writers can achieve their goals using much less sophisticated techniques.
* portability - Blue Pill is designed to work on 64-bit AMD processors which limits the coverage often required by malware.

Oh, I forgot to mention one more thing. Any malware, including hardware-assisted virtualization rootkits has to arrive to a computer before it is activated. If your endpoint security software is installed, it will have a chance of detecting it as it arrives to the system. With the recent advances in proactive protection you may already be protected against hardware-assisted virtualization rootkits.
Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 13-08-2007, 17:17   #3
sampei.nihira
Senior Member
 
Iscritto dal: Aug 2006
Messaggi: 4350
Ho letto diversi articoli su Rutkowska.
Anche quello che hai messo all'attenzione tu Pistolino.
In ambito teorico,anche se io sono quello meno in grado di giudicarla ed anche in questo caso lungi dal volerlo fare, mi sembra forte.

Ma non vorrei che ha visto troppo " MATRIX " ed è rimasta sconcertata !!

(Ricordate ? Pillola blu oppure rossa ? )
sampei.nihira è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 14:39   #4
monkey island
Senior Member
 
L'Avatar di monkey island
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2441
E' una programmatrice con i controfiocchi
monkey island è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 15:09   #5
pistolino
Senior Member
 
L'Avatar di pistolino
 
Iscritto dal: Jan 2005
Messaggi: 7200
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Che aspetti a sposarla?

Regards
pistolino è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 15:16   #6
lucas84
Senior Member
 
L'Avatar di lucas84
 
Iscritto dal: Aug 2005
Messaggi: 1267
Quote:
Originariamente inviato da monkey island Guarda i messaggi
E' una programmatrice con i controfiocchi
Non ha scoperto niente di nuovo, questo post
http://www.avertlabs.com/research/bl...lized-malware/
è abbastanza interessante

Ciao
__________________
Il dubbio è il padre del sapere.
lucas84 è offline   Rispondi citando il messaggio o parte di esso
Old 14-08-2007, 16:15   #7
monkey island
Senior Member
 
L'Avatar di monkey island
 
Iscritto dal: Nov 2002
Città: Ravenna
Messaggi: 2441
Quote:
Originariamente inviato da pistolino Guarda i messaggi
Che aspetti a sposarla?

Regards
Già fatto

Ultima modifica di monkey island : 14-08-2007 alle 20:55.
monkey island è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

I nuovi schermi QD-OLED di quinta generazione di MSI, per i gamers I nuovi schermi QD-OLED di quinta generazione di...
Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria Recensione vivo X300 Pro: è ancora lui il...
Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'...
AWS re:Invent 2025: inizia l'era dell'AI-as-a-Service con al centro gli agenti AWS re:Invent 2025: inizia l'era dell'AI-as-a-Se...
Cos'è la bolla dell'IA e perché se ne parla Cos'è la bolla dell'IA e perché se...
Amazon, tutte le offerte e qualche novit...
Sedie gaming in offerta su Amazon: desig...
Scope elettriche in offerta Amazon: mode...
Ricarica EV fino a 22 kW spendendo poco:...
Costa solo 139€ ma fa tutto: Lefant M330...
Amazon Haul spinge sul risparmio: sconti...
Oral-B iO in offerta su Amazon: maxi sco...
I cosmonauti avrebbero riparato tutte le...
Artemis II: la NASA conferma il lancio d...
Il CEO di Embrak Studios difende l'uso d...
Il Trump Phone è sempre più un mistero: ...
OPPO ha svelato la serie Reno 15 "global...
Poste ID diventa a pagamento: l'identità...
7 articoli crollati di prezzo su Amazon ...
Lavatappeti, smacchiatore e Vaporella a ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 15:20.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v