понедельник, августа 13, 2007

пятница, августа 03, 2007

Код New Blue Pill доступен для скачивания

История с Blue Pill имеет продолжение.
Invisible Things Lab написала New Blue Pill, на страничке Blue Pill Project выложены исходники и слайды. И есть еще пост Джоанны в блоге.
Чего пишут. Рассказывают, что методы обнаружения, предложенные ранее, работать не будут и вот почему. Обнаружение состоит из двух этапов.
1. Понять, что используется виртуализация.
2. Понять, что виртуализация используется злонамеренно, ну в данном случае, что это Blue Pill работает.

Если первое еще худо-бедно можно определить, то второе вообще никак. Причем Blue Pill старается еще и первый пункт не афишировать. Оно, если видит попытки себя детектировать, выгружается и ждет пока все закончится. Вот эту технологию с выгрузкой называли Blue Chicken.

Это я все подчерпнула из слайдов, там есть примеры кода, схемы, куски дизассемблированного кода, вообще слайды здоровые. Там подробоно расписывается какие способы детектирования Blue Pill были предложены на данный момент и почему ни один из них работать не будет.

Из всего этого делается концептуальный вывод. Что виртуализация сама по себе идея не плохая, но была введена слишком поспешно. Invisible Things Lab считает, что для операционных систем общего назначения на основе микроядра, вообще невозможно построить эффективную защиту ядра.

Самое интересное. Чего там с их Challenge'ем-то.
Джоанна пишет, что вопрос, почему она поставила свое условие с одной секундой остается как упражнение читателю. Я так понимаю, это нужно для работы Blue Chicken.
Говорит, что Challenge они выиграет легко, просто на части компьютеров запустит виртуальную машину с чем-нибудь безобидным и отличить это от Blue Pill будет невозможно. То есть подстрахуется, на случай, если Blue Chicken не справиться.
Про тонну денег, которую она хочет - ни слова. А пока она от этого требования не откажется, ничего не будет.

Updated 05.08.2007:
Пташек написал пост у себя и сказал, что они отлично смогут распознать как минимум неожиданную виртуализацию (unexpected virtualization). Подробности тут: Joanna’s Response To Our Talk.
Updated 07.08.2007:
Пташек выложил ссылку на их слайды.