Перейти к содержанию

Recommended Posts

dr_dizel

В то время как большинство игроков на рынке высоких технологий применяют виртуализацию в корпоративном секторе, появляются производители решений для конечного пользователя.

header.jpg

HyperArmor - легковесный, шустрый и расширяемый за счёт плагинов гипервизор для ПК на базе процессоров от Intel и AMD, которые поддерживают технологию виртуализации.

Данный продукт предполагается использовать по нескольким направлениям:

  • Антивирусная защита ПК от руткитов, вирусов и шпионских программ.
  • Инструмент разработчика с документированным интерфейсом под технологию виртуализации на базе плагинов к гипервизору HyperArmor и возможностью отладки.
  • Разработка самой компанией Hypervista Technologies необходимых потребителям модулей.

Публичное бэта тестирование обещано в 2008 году.

Как мы видим, новые компании начинают предпринимать попытки занять появившуюся нишу рынка антивирусов, базирующихся на виртуализации. Совсем недавно засветился продукт "Hypersight Rootkit Detector" от компании "North Security Labs". Вот только почему-то не видно телодвижений со стороны всем известных АВК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вопрос следующий, насколько такие антивирусные решения вообще востребованы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Начнём с того, что это вообще не антивирусное решение. И чем оно будет лучше уже существующих и работающих песочниц?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Начнём с того, что это вообще не антивирусное решение.

В первую очередь оно позиционируется именно как антивирусное для десктопа. Также они предлагают и другие вытекающие из темы гипервизорства решения.

И чем оно будет лучше уже существующих и работающих песочниц?

Можно сказать, что время пришло. Технология есть и продолжает развиваться. Свежая кровь. Даёт больше возможностей. Вот те же DaemonTools-совцы решили бороться с руткитом от StarForce посредством виртуализации не от хорошей жизни. Также тема гипервизорных руткитов свежа. Можно вспомнить ту же Джоанну с красной пилюлей или байку про историю создания RKU. Да и уже скоро, наверное, у каждого Васи Пупкина и Виталега будет стоять комп с процом поддерживающим один из вариантов виртуализации. Может эта технология заставит АВ сбросить с себя тяжелое наследие прошлого и не будет способствовать дальнейшему превращению кода ОС в винегрет, а позволит АВ встать над ОС? Да и индустрия как-то нормально пережила ведь выход i386 с его VM86. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь. Гипервизор даёт возможность отследить обращения к: портам ввода-вывода, памяти и регистрам процессора. И это всё. Чтобы раелизовать полноценную проверку системы, гипервизру нужно или а) полностью эмулировать дисковую подсистему (пользователям нестандартных RAID- массивов будет очень весело) б) полагаться на данные потенциально скомпрометированной ОС. Ну и где тут эффективность работы? И чем оно лучше реально работающих песочниц, которые уже защищают и от руткитов в том числе? Я уж не говорю про кейлоггеры и иные виды угроз, против которых гипервизорные секьюрити-поделки бессильны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь...

Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

А какое отношение PatchGuard имеет к защите от руткитов? Правильный ответ- никакого, реализацию скрытия процессов, файлов и ключей реестра можно выполнить стандартными средствами + DKOM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А какое отношение PatchGuard имеет к защите от руткитов?

А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра? А что всё будет разруливаться гипервизором никто и не говорил. Да и PatchGuard приводился только в качестве примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра?

Имеют- точно такое же, как и легитимные программы. Драйвер-фильтр файловой системы- это легитимная модификация данных ядра? А перехватчик операции с реестром на основе CmRegisterCallback(Ex)?

А что всё будет разруливаться гипервизором никто и не говорил

А вопрос вовсе не в этом. Он в том, что же именно могут делать продукты с гипервизором того, что не могут другие? По моему мнению- практически ничего. И от руткитов не защитит, и от зловреда не спасёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova
что же именно могут делать продукты с гипервизором того, что не могут другие?

Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации, а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации,

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

а дальше эта опция будет заблокирована по умолчанию перемычкой на плате

А дальше эта опция будет контролироваться MS. Это лишь вопрос времени. Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Отключить виртуализацию можно было и вчера практически на всех системных платах в BIOS. На некоторых она включена изначально, а на некоторых нет.

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

А установку гиперкита через буткит оно спасает? И если гиперкит киляет большинство АВ при запуске, а буткит вешает систему с выключеной виртуализацией (если она до этого была включена), то что делать дальше обычному пользователю?

Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Голый гипервизор конечно смотрится убого. Но меня всегда восхищали люди, которые, например, используя убогие графические возможности ZX писали шедевры, а некоторым современным Кармакам подавай 64 бит на пиксель.

Я думаю, что стоит пока подождать медведа, а потом делить его шкуру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А установку гиперкита через буткит оно спасает?

Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Голый гипервизор конечно смотрится убого.

А вот термины не надо подменять. А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Да не спасёт оно. Тот же гипервизор даёт полный доступ к памяти. Взаимный контроль друг-друга: гиперкита и буткита - даёт неплохую пробивную силу. Да и в самой ОС тоже предостаточно дыр для проникновения, не говоря уже о всяких 0-day.

А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Многие "иные средства защиты" уступают в контроле системы гипервизорным средствам. Тем "иным средствам" нужно неплохо извратится, чтобы контролировать систему, а у гипервизора всё практически готовенькое. И из-за необходимости во всяких извратах "иные средства" склонны к BSOD-ам - тот же KAV7 у меня просто BSOD-ится. К тому же гипервизорные решения имеют некоторую фору перед обычными в детекте неизвестной вирусной активности. Ещё до реализации в Вэбе антируткитных способностей, Hypersight палил MaosBoot, и можно было начинать ревизию системы.

maosboot_kill.gif

P.S. Для проверки в каком состоянии у вас находится виртуализация, можно использовать утилиту Джоанны.

VMX.gif

post-4003-1212476431_thumb.png

post-4003-1212476874_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Можно написать низкоуровневый зловред без использования манипуляций с WP-bit (например, так написан мой драйвер- он перехватывает SSDT, но этот гипервизорный софт даже не пикнет). И ещё раз- возможности контроля системы с уровня ring(-1) меньше, чем возможности контроля ring3->ring0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

В бэте 0.5 добавили детект Blue Pill (SubVirt, Vitriol...).

Ведутся работы над поддержкой вложенных гипервизоров (эмуляцией).

vt-x-detect.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions REG_BINARY FC00000000000000000000000000000043880400790000000000000000000000000000004388040077000000000000000000000000000000438804002F000000000000000000000000000000438804002E000000000000000000000000000000438804002C000000000000000000000000000000438804002B0000000000000000000000000000004388040021000000000000000000000000000000438804001F000000000000000000000000000000438804000F000000000000000400000000000000C339F780686F6D6506000000000000000400000000000000C339F780C0A8020103000000000000000400000000000000C339F780C0A8020101000000000000000400000000000000C339F780FFFFFF0033000000000000000400000000000000C339F7800003F48036000000000000000400000000000000C339F780C0A8020135000000000000000100000000000000C339F78005000000 DhcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×