Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Elérhető a BluePill rootkit forráskódja

2007.08.03. 19:46 | buherator | Szólj hozzá!

Joanna Rutkowska nyilvánoságra hozta a BluePill virtualizációs rootkit atdolgozott forráskódját. Rutkowska a program eredeti változatát a 2006-os BlackHat-en mutatta be, és azt állította, hogy a rootkit detektálása lehetetlen, mivel az a processzorok beépített virtualizációs képességét használja ki, és a felhasználótól teljesen rejtetten, újraindítás nélkül hoz létre egy virtuális környezetet (egyenlőre csak az AMD-k és az SVM/Pacifia gyártmányok támogatottak).

Ennek ellenére három biztonságtechnikai szakember - Thomas Ptacek (Matasano Security), Nate Lawson (Root Labs) és Peter Ferrie (Symantec) - kritikával illették az első verziót, és kihívták Rutkovskat, hogy megmutassák,  a BluePill észlelhető, a feltaláló azonban erről nem vett tudomást. Minden esetre az első csatát így is a triumvirátus nyerte: az új BluePill változat alatt pl. a Microsoft Virtual PC 2007 összeomlik.

A program ettől függetlenül azonban mindenképpen izgalmas megoldásokat mutat be: a már említett észrevétlen környezetváltáson kívül a készítők más trükköket is bevetettek az észevétlenség érdekében, a BluePill állításuk szerint pl. kezdetleges módon ugyan, de képes módosítani a Time Stamp Clock Registert, és ezzel megakadályozza az ellopott óraciklusok észlelését.

Címkék: bluepill

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.