Анализ: насколько опасны вирусы, использующие аппаратную поддержку виртуализации
Jul 2, 2007 · CommentsБезопасностьТехнологииWindows
Статья полугодовой давности: CPU Virtualization Extensions: Analysis of Rootkit Issues. Анализируется степень опасности, которую могут представлять вирусы и прочее вредоносное программное обеспечение, использующие аппаратную поддержку виртуализации, как средство контроля над операционной системой. Интересны выводы:
A hypervisor-based rootkit cannot be run unless the attacker is already executing kernel-mode code.
Такой rootkit не может быть запущен если только хакер не может выполнять произвольный код в режиме ядра. (Т.е. без “дырки в заборе” всё же не обойтись).
A hypervisor-based rootkit gives an attacker no new access to user data that the attacker would not already have through a traditional kernel-mode rootkit.
Такой rootkit не даёт хакеру больший доступ к данным, чем тот который он уже имеет, используя обычный rootkit, работающий в режиме ядра. (Однако возможно, что доступ к данным станет удобнее).
A hypervisor-based rootkit must implement complex mechanisms and utilize secure hardware in order to protect itself from the operating system, and it must also do so in ways that avoid detection.
Такой rootkit должен реализовывать сложные механизмы и использовать возможности аппаратного обеспечения для того, чтобы защитить себя от операционной системы, а также он должен делать это максимально скрытно.
В двух словах это можно просуммировать как: играть в прятки, виртуализируя всё и вся, красиво, но не практично.