dr_dizel

Вы ещё кипятите?...

В этой теме 16 сообщений

В то время как большинство игроков на рынке высоких технологий применяют виртуализацию в корпоративном секторе, появляются производители решений для конечного пользователя.

header.jpg

HyperArmor - легковесный, шустрый и расширяемый за счёт плагинов гипервизор для ПК на базе процессоров от Intel и AMD, которые поддерживают технологию виртуализации.

Данный продукт предполагается использовать по нескольким направлениям:

  • Антивирусная защита ПК от руткитов, вирусов и шпионских программ.
  • Инструмент разработчика с документированным интерфейсом под технологию виртуализации на базе плагинов к гипервизору HyperArmor и возможностью отладки.
  • Разработка самой компанией Hypervista Technologies необходимых потребителям модулей.

Публичное бэта тестирование обещано в 2008 году.

Как мы видим, новые компании начинают предпринимать попытки занять появившуюся нишу рынка антивирусов, базирующихся на виртуализации. Совсем недавно засветился продукт "Hypersight Rootkit Detector" от компании "North Security Labs". Вот только почему-то не видно телодвижений со стороны всем известных АВК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос следующий, насколько такие антивирусные решения вообще востребованы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Начнём с того, что это вообще не антивирусное решение. И чем оно будет лучше уже существующих и работающих песочниц?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начнём с того, что это вообще не антивирусное решение.

В первую очередь оно позиционируется именно как антивирусное для десктопа. Также они предлагают и другие вытекающие из темы гипервизорства решения.

И чем оно будет лучше уже существующих и работающих песочниц?

Можно сказать, что время пришло. Технология есть и продолжает развиваться. Свежая кровь. Даёт больше возможностей. Вот те же DaemonTools-совцы решили бороться с руткитом от StarForce посредством виртуализации не от хорошей жизни. Также тема гипервизорных руткитов свежа. Можно вспомнить ту же Джоанну с красной пилюлей или байку про историю создания RKU. Да и уже скоро, наверное, у каждого Васи Пупкина и Виталега будет стоять комп с процом поддерживающим один из вариантов виртуализации. Может эта технология заставит АВ сбросить с себя тяжелое наследие прошлого и не будет способствовать дальнейшему превращению кода ОС в винегрет, а позволит АВ встать над ОС? Да и индустрия как-то нормально пережила ведь выход i386 с его VM86. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь. Гипервизор даёт возможность отследить обращения к: портам ввода-вывода, памяти и регистрам процессора. И это всё. Чтобы раелизовать полноценную проверку системы, гипервизру нужно или а) полностью эмулировать дисковую подсистему (пользователям нестандартных RAID- массивов будет очень весело) б) полагаться на данные потенциально скомпрометированной ОС. Ну и где тут эффективность работы? И чем оно лучше реально работающих песочниц, которые уже защищают и от руткитов в том числе? Я уж не говорю про кейлоггеры и иные виды угроз, против которых гипервизорные секьюрити-поделки бессильны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь...

Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

А какое отношение PatchGuard имеет к защите от руткитов? Правильный ответ- никакого, реализацию скрытия процессов, файлов и ключей реестра можно выполнить стандартными средствами + DKOM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А какое отношение PatchGuard имеет к защите от руткитов?

А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра? А что всё будет разруливаться гипервизором никто и не говорил. Да и PatchGuard приводился только в качестве примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра?

Имеют- точно такое же, как и легитимные программы. Драйвер-фильтр файловой системы- это легитимная модификация данных ядра? А перехватчик операции с реестром на основе CmRegisterCallback(Ex)?

А что всё будет разруливаться гипервизором никто и не говорил

А вопрос вовсе не в этом. Он в том, что же именно могут делать продукты с гипервизором того, что не могут другие? По моему мнению- практически ничего. И от руткитов не защитит, и от зловреда не спасёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что же именно могут делать продукты с гипервизором того, что не могут другие?

Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации, а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации,

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

а дальше эта опция будет заблокирована по умолчанию перемычкой на плате

А дальше эта опция будет контролироваться MS. Это лишь вопрос времени. Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Отключить виртуализацию можно было и вчера практически на всех системных платах в BIOS. На некоторых она включена изначально, а на некоторых нет.

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

А установку гиперкита через буткит оно спасает? И если гиперкит киляет большинство АВ при запуске, а буткит вешает систему с выключеной виртуализацией (если она до этого была включена), то что делать дальше обычному пользователю?

Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Голый гипервизор конечно смотрится убого. Но меня всегда восхищали люди, которые, например, используя убогие графические возможности ZX писали шедевры, а некоторым современным Кармакам подавай 64 бит на пиксель.

Я думаю, что стоит пока подождать медведа, а потом делить его шкуру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А установку гиперкита через буткит оно спасает?

Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Голый гипервизор конечно смотрится убого.

А вот термины не надо подменять. А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Да не спасёт оно. Тот же гипервизор даёт полный доступ к памяти. Взаимный контроль друг-друга: гиперкита и буткита - даёт неплохую пробивную силу. Да и в самой ОС тоже предостаточно дыр для проникновения, не говоря уже о всяких 0-day.

А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Многие "иные средства защиты" уступают в контроле системы гипервизорным средствам. Тем "иным средствам" нужно неплохо извратится, чтобы контролировать систему, а у гипервизора всё практически готовенькое. И из-за необходимости во всяких извратах "иные средства" склонны к BSOD-ам - тот же KAV7 у меня просто BSOD-ится. К тому же гипервизорные решения имеют некоторую фору перед обычными в детекте неизвестной вирусной активности. Ещё до реализации в Вэбе антируткитных способностей, Hypersight палил MaosBoot, и можно было начинать ревизию системы.

maosboot_kill.gif

P.S. Для проверки в каком состоянии у вас находится виртуализация, можно использовать утилиту Джоанны.

VMX.gif

post-4003-1212476431_thumb.png

post-4003-1212476874_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно написать низкоуровневый зловред без использования манипуляций с WP-bit (например, так написан мой драйвер- он перехватывает SSDT, но этот гипервизорный софт даже не пикнет). И ещё раз- возможности контроля системы с уровня ring(-1) меньше, чем возможности контроля ring3->ring0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS