куплю код детекта вм машин без црт

Тема в разделе "WASM.COMMERCE", создана пользователем codings1, 12 мар 2020.

  1. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    https://en.wikipedia.org/wiki/Instructions_per_cycle
    upload_2020-3-26_1-42-10.png
    из книги Detection of Intrusions and Malware, and Vulnerability Assessment: 14th

    неважно == производители вари вполне могут фейкануть.. значение рдтсц под виртой и под хостом на замерах циклов, ну-никак равны не мб. даже замеры сугубо под хостом могут жёстко плавать в зависимости от фоновой нагрузки проца, а вирта всего лишь процесс с далеко не монопольным доступом к процу.
    скорей всего будет то же, что и на хосте.
    ну-это крайне сомнительно == если захватить монопольный доступ к цпу, то получишь в лучшем случае бсод на уровне хоста, а в худшем пойдёт суровый дЪЭмЭдЪЖЪЪЪ (файловая система слетит, к примеру). хотя слёт хоста из-под вирты всегда средь интересных задач:laugh1::laugh2::laugh3:

     
    TermoSINteZ нравится это.
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    > скорей всего будет то же, что и на хосте.

    Да, статистической разницы нет. Если в двух тредах инкрементить не выравненную переменную в разных комбинациях(lock-inc, lock-lock, при этом относительно обычного inc 2-й переменной в двух потоках).
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Indy_, можно ещё щимить чрез файловые операции == в силу множества причин они тоже могут гулять хорошо :)
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Это привязка к сервисам, сразу обнаружат и обойдут. Детект по таймингу тем хорош, что его сложно обнаружить.
     
  5. Aoizora

    Aoizora Active Member

    Публикаций:
    0
    Регистрация:
    29 янв 2017
    Сообщения:
    362
    Каким образом работает этот детект, если выше выяснили, что погрешность даже на хосте может быть любой?
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Aoizora,

    Где это выяснили, перечитай чтоли.
     
    TermoSINteZ нравится это.
  7. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    запись в/чтение из файл/а не менее обыденная операция для приложух. Но вирта не способна организовать ио операции со стабильной скоростью, пч виртуальный хдд -- еть тупо файл:crazy: на реальном диске и он столь же тупо фрагментирован :grin:
    --- Сообщение объединено, 29 мар 2020 ---
    если отключить кэш проца, то лаги озу вполне забьют счётчики, но кому жЪЪЪ нужны такие извраты? :)
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Не пойму о каком анстабе идёт речь. Выше ведь были тесты и примеры, всё стабильно работает, никакой погрешности. Да просто чувак выше не читая что то написал, вот и всё.

    > Но вирта не способна организовать ио операции со стабильной скоростью

    Это ясно, просто я это не рассматриваю способом. Я бы такой детект обнаружил сразу, минут 10 на коденг сервисного фильтра. Круто это если без сервисов и спец инструкций, типо rdtsc.
     
  9. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Indy_, а акь такое обнаружить можно??? вот апп-ка открыла файло и читает, в другом потоке тихо-мирно набегает счётчик.
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Повторные вызовы и замер тайминга. Эти операции сразу идут в лог, который пролистав сразу станет ясно где детект.
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    так замер тайминга -- еть х++ в цикле параллельного потока, ни аких системных счётчиков опять же не пользуем :)
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Ну я в общем имел ввиду. Если вирта палится, сначала снимается сервисный лог, который внимательно изучается, затем лог по системным инструкциям(rdtsc/cupid/vmx_gate etc). Сразу всё быстро находится.
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Indy_, логи хорошо тормозят вирту, что тоже хорошо идёт на пользу делу :)
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Тебе бы на практике что то потыкать отладчиком или есчо чем, ты походу очень далёк от реального дела :)
     
    Ronin_ нравится это.
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    не веришь, проверь :grin:
     
  16. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    есть ещё схема почекать озу == в вирте озу -- это доля озу на реальной машине и, если забить всю память вирты, то может произойти довольно весёлая "её звали аномалия", коей на труЪЪЪ машине быть по-определению не может.. скорость работы вирты не будет падать существенно. А всё благодаря рэмдрайвам:laugh1::laugh2::laugh3: вот, и получается, что вирта оказывается палевной, даже когда она шустрая :)
     
  17. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Хотел потестить MOVDIRI(IA), процик её не поддерживает :sad:

    Интересна статистика.
     
  19. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Напишите семпл/РоС, может кто другой затестит.
    Какой там процессор нужен?
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    По последнему опыту с wow etc знаю что такие тесты будут длиться до нового года..