Столкнулся с проблемой что методы детекта виртуалок перестают корректно работать при включении аппаратной VT-X Может кто подскажет хоть в какую сторону копать?!
Так при включении VT-X поведение виртуальной оси кардинально меняется - ведь теперь "виртуалка" не должна подстраиваться под операционную систему! Драйвер "виртуалки" теперь входит в режим гипервизора (еще ниже нулевого кольца) и пользуется машинными командами виртуализации, позволяющими отдельно выполнять на компьютере 2 операц. системы как два разных процесса. Аппаратная виртуализация - это совсем другой механизм, отличный от программного. Но методы обнаружения виртуалки есть: 1) Если получится, попробуй распознать гипервизор-виртуалки в лицо (драйвера, обеспечивающие выполнение команд виртуализации) 2) Есть ещё какая-то машинная команда, которая возвращает нам - выполняемся мы на настоящем железе или под гипервизором.
Гипервизор - это аппаратная виртуальная среда и он котролирует все на компьютере. Есть даже троян, устанавливающий свой гипервизов и называющийся "Красной пилюлей". Если гипервизор захочет, то он тебе и железо нужное спрячит и память доступную уменьшит. Насчет того, что ты сказал - не знаю. Может какие-то файлы и создает. Подожди, может ещё кто чего напишет.
впервые слышу о готовом трояне. Про работы Рутковской мельком читал, а про готовый троян никогда не слышал. Поподробнее пожалуйста
AndreyMust19 Если не знаешь - чего писать тогда? Не троян,а руткит. И есть две пилюли. Из источников, известно, что blue pill - это гипервизор, а вторая red pill - его детект. При этом гипервизор может быть вложенным. Читайте http://en.wikipedia.org/wiki/Blue_Pill
В этом мире нет ничего идеального. Виртуализация всегда будет вносить некие тонкие эффекты которые можно отследить ... Это как соревнование брони и снаряда.
Любая аппаратная виртулизация всегда должна иметь поддержку софта на разных уровнях. Пример Virtual PC он поддерживает "аппаратную виртулизацию" и что толку. В виртуальной машине он все равно использует виртуальные устройства Видюха и Винт которые выкупаются на раз ...
K10 НУ во первых, можно при условии что есть виртуальное оборудование. А если мы уж говорим о руткинах, то там оно наврятли встретиться, не так ли? Если говорить о VMware тогда тогда круто, а никто из вас не задумался затем там виртуальная сетевуха и видюха? Она там затем чтобы выводить в окне, вы как доступ к реальной то дадить? тогда ось под варей тупо захватит экран )) про сетевуху тоже бред, что по вашему руткин сетевуху будет эмулить? И вообще смысл повторять 2 раза сказанное выше? вон AndreyMust19 в 2 посте написал про оборудование, давайте еще 20 раз напишем. asmlamo Читай мой пост, к томуже про "по оборудованию" 10000 раз писали. Ведь его теоритически может и не быть.
asmlamo ПРосто процы еще не так распространены с этой технологией, и руткины писать нет смысла. Вот пожевем увидим.
SPA Согласен полностью. Технология есть, но процы все еще дорогие, чтоб массово поменять их. 0xFE Маны интела\амд скачиваете и курите.
