Перейти к содержанию

Recommended Posts

dr_dizel

В то время как большинство игроков на рынке высоких технологий применяют виртуализацию в корпоративном секторе, появляются производители решений для конечного пользователя.

header.jpg

HyperArmor - легковесный, шустрый и расширяемый за счёт плагинов гипервизор для ПК на базе процессоров от Intel и AMD, которые поддерживают технологию виртуализации.

Данный продукт предполагается использовать по нескольким направлениям:

  • Антивирусная защита ПК от руткитов, вирусов и шпионских программ.
  • Инструмент разработчика с документированным интерфейсом под технологию виртуализации на базе плагинов к гипервизору HyperArmor и возможностью отладки.
  • Разработка самой компанией Hypervista Technologies необходимых потребителям модулей.

Публичное бэта тестирование обещано в 2008 году.

Как мы видим, новые компании начинают предпринимать попытки занять появившуюся нишу рынка антивирусов, базирующихся на виртуализации. Совсем недавно засветился продукт "Hypersight Rootkit Detector" от компании "North Security Labs". Вот только почему-то не видно телодвижений со стороны всем известных АВК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вопрос следующий, насколько такие антивирусные решения вообще востребованы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Начнём с того, что это вообще не антивирусное решение. И чем оно будет лучше уже существующих и работающих песочниц?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Начнём с того, что это вообще не антивирусное решение.

В первую очередь оно позиционируется именно как антивирусное для десктопа. Также они предлагают и другие вытекающие из темы гипервизорства решения.

И чем оно будет лучше уже существующих и работающих песочниц?

Можно сказать, что время пришло. Технология есть и продолжает развиваться. Свежая кровь. Даёт больше возможностей. Вот те же DaemonTools-совцы решили бороться с руткитом от StarForce посредством виртуализации не от хорошей жизни. Также тема гипервизорных руткитов свежа. Можно вспомнить ту же Джоанну с красной пилюлей или байку про историю создания RKU. Да и уже скоро, наверное, у каждого Васи Пупкина и Виталега будет стоять комп с процом поддерживающим один из вариантов виртуализации. Может эта технология заставит АВ сбросить с себя тяжелое наследие прошлого и не будет способствовать дальнейшему превращению кода ОС в винегрет, а позволит АВ встать над ОС? Да и индустрия как-то нормально пережила ведь выход i386 с его VM86. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь. Гипервизор даёт возможность отследить обращения к: портам ввода-вывода, памяти и регистрам процессора. И это всё. Чтобы раелизовать полноценную проверку системы, гипервизру нужно или а) полностью эмулировать дисковую подсистему (пользователям нестандартных RAID- массивов будет очень весело) б) полагаться на данные потенциально скомпрометированной ОС. Ну и где тут эффективность работы? И чем оно лучше реально работающих песочниц, которые уже защищают и от руткитов в том числе? Я уж не говорю про кейлоггеры и иные виды угроз, против которых гипервизорные секьюрити-поделки бессильны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Э, господин хорошой, видно, что в тонкостях функционирования ring -1 и ОС вы не шибко разбираетесь...

Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Я думаю, что вменяемо реализовать что-нибудь напоминающее PatchGuard с дополнительными опциями вполне возможно. Поживём - увидим.

А какое отношение PatchGuard имеет к защите от руткитов? Правильный ответ- никакого, реализацию скрытия процессов, файлов и ключей реестра можно выполнить стандартными средствами + DKOM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А какое отношение PatchGuard имеет к защите от руткитов?

А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра? А что всё будет разруливаться гипервизором никто и не говорил. Да и PatchGuard приводился только в качестве примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А руткиты значит, не имеют никакого отношения к модификации данных и кода ядра?

Имеют- точно такое же, как и легитимные программы. Драйвер-фильтр файловой системы- это легитимная модификация данных ядра? А перехватчик операции с реестром на основе CmRegisterCallback(Ex)?

А что всё будет разруливаться гипервизором никто и не говорил

А вопрос вовсе не в этом. Он в том, что же именно могут делать продукты с гипервизором того, что не могут другие? По моему мнению- практически ничего. И от руткитов не защитит, и от зловреда не спасёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova
что же именно могут делать продукты с гипервизором того, что не могут другие?

Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации, а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Скорее всего появится несколько концептуальных руткитов на основе железной виртуализации,

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

а дальше эта опция будет заблокирована по умолчанию перемычкой на плате

А дальше эта опция будет контролироваться MS. Это лишь вопрос времени. Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...а дальше эта опция будет заблокирована по умолчанию перемычкой на плате, как это было с чернобылем.

Отключить виртуализацию можно было и вчера практически на всех системных платах в BIOS. На некоторых она включена изначально, а на некоторых нет.

Ну появится, дальше что? Фишка в том, что, контролируя загрузку драйверов, можно остановить любой руткит, вне зависимости от.

А установку гиперкита через буткит оно спасает? И если гиперкит киляет большинство АВ при запуске, а буткит вешает систему с выключеной виртуализацией (если она до этого была включена), то что делать дальше обычному пользователю?

Просто продукты на основе контроля загрузки гипервизора бесперспективны- они не могут предоставить тот уровень защиты, что дают HIPS, это очень маленький дополнительный уровень контроля.

Голый гипервизор конечно смотрится убого. Но меня всегда восхищали люди, которые, например, используя убогие графические возможности ZX писали шедевры, а некоторым современным Кармакам подавай 64 бит на пиксель.

Я думаю, что стоит пока подождать медведа, а потом делить его шкуру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А установку гиперкита через буткит оно спасает?

Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Голый гипервизор конечно смотрится убого.

А вот термины не надо подменять. А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Оно спасёт от самого буткита- он просто в MBR записаться не сможет.

Да не спасёт оно. Тот же гипервизор даёт полный доступ к памяти. Взаимный контроль друг-друга: гиперкита и буткита - даёт неплохую пробивную силу. Да и в самой ОС тоже предостаточно дыр для проникновения, не говоря уже о всяких 0-day.

А говорил не о убогости, а о бесперспективности по сравнению с иными средствами защиты, не базирующимися на аппаратной виртуализации.

Многие "иные средства защиты" уступают в контроле системы гипервизорным средствам. Тем "иным средствам" нужно неплохо извратится, чтобы контролировать систему, а у гипервизора всё практически готовенькое. И из-за необходимости во всяких извратах "иные средства" склонны к BSOD-ам - тот же KAV7 у меня просто BSOD-ится. К тому же гипервизорные решения имеют некоторую фору перед обычными в детекте неизвестной вирусной активности. Ещё до реализации в Вэбе антируткитных способностей, Hypersight палил MaosBoot, и можно было начинать ревизию системы.

maosboot_kill.gif

P.S. Для проверки в каком состоянии у вас находится виртуализация, можно использовать утилиту Джоанны.

VMX.gif

post-4003-1212476431_thumb.png

post-4003-1212476874_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Можно написать низкоуровневый зловред без использования манипуляций с WP-bit (например, так написан мой драйвер- он перехватывает SSDT, но этот гипервизорный софт даже не пикнет). И ещё раз- возможности контроля системы с уровня ring(-1) меньше, чем возможности контроля ring3->ring0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

В бэте 0.5 добавили детект Blue Pill (SubVirt, Vitriol...).

Ведутся работы над поддержкой вложенных гипервизоров (эмуляцией).

vt-x-detect.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×