Jump to content

Синяя таблетка (программное обеспечение)

Blue Pill — кодовое название руткита, основанного на виртуализации x86 . Blue Pill изначально требовала поддержки виртуализации AMD-V (Pacifica), но позже была портирована для поддержки Intel VT-x и (Vanderpool). Он был разработан Джоанной Рутковской и первоначально продемонстрирован на брифинге Black Hat 3 августа 2006 года с эталонной реализацией для ядра Microsoft Windows Vista .

Название является отсылкой к концепции красной и синей таблеток из фильма «Матрица» 1999 года .

Обзор [ править ]

Концепция Blue Pill заключается в том, чтобы перехватить работающий экземпляр операционной системы, запустив тонкий гипервизор и виртуализировав под ним остальную часть машины. Предыдущая операционная система по-прежнему сохраняла существующие ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время, могло быть перехвачено (и отправлено ложный ответ) гипервизором. Первоначальная концепция Blue Pill была опубликована другим исследователем из IEEE Oakland в мае 2006 года под названием VMBR (руткит на основе виртуальных машин). [1]

Рутковска утверждает, что, поскольку гипервизор может обмануть любую программу обнаружения, такая система может быть «на 100% необнаружимой». Поскольку виртуализация AMD по своей конструкции является бесшовной, виртуализированный гость не должен иметь возможности спрашивать, является ли он гостем или нет. Таким образом, единственный способ обнаружить Blue Pill — это если реализация виртуализации не работает должным образом. [2]

Эта оценка, повторенная в многочисленных статьях в прессе, оспаривается: AMD выступила с заявлением, отвергающим утверждение о полной необнаружимости. [3] Некоторые другие исследователи безопасности и журналисты также отвергли эту концепцию как неправдоподобную. [4] Виртуализацию можно обнаружить с помощью временной атаки, основанной на внешних источниках времени. [5]

В 2007 году на конференции Black Hat в 2007 году группа исследователей предложила Рутковской противопоставить Blue Pill их программному обеспечению для обнаружения руткитов. [6] но сделка была признана несостоявшейся после того, как Рутковска запросила финансирование в размере 384 000 долларов в качестве предварительного условия для участия в конкурсе. [7] Рутковская и Александр Терешкин опровергли утверждения недоброжелателей во время последующего выступления Black Hat, утверждая, что предложенные методы обнаружения были неточными. [8]

Исходный код Blue Pill с тех пор был обнародован. [9] [10] на условиях следующей лицензии: Любое несанкционированное использование (включая публикацию и распространение) этого программного обеспечения требует действующей лицензии от владельца авторских прав. Это программное обеспечение было предоставлено для использования только в образовательных целях во время тренингов и конференций Black Hat. [11]

Красная таблетка [ править ]

Red Pill — метод обнаружения присутствия виртуальной машины, также разработанный Джоанной Рутковской . [12]

Ссылки [ править ]

  1. ^ Кинг, ST; Чен, премьер-министр (2006). «SubVirt: внедрение вредоносного ПО с помощью виртуальных машин». Симпозиум IEEE по безопасности и конфиденциальности 2006 г. (S&P'06) . стр. 14 стр. doi : 10.1109/SP.2006.38 . ISBN  0-7695-2574-1 . S2CID   1349303 .
  2. ^ Прототип «Blue Pill» создает 100% необнаружимое вредоносное ПО. [ постоянная мертвая ссылка ] , Райан Нарейн, eWeek.com
  3. ^ Вбрасывание: AMD против Джоанны Рутковской. Архивировано 4 мая 2008 г. на Wayback Machine , eWeek.com.
  4. ^ Развенчание мифа о синих таблетках. Архивировано 14 февраля 2010 г. на Wayback Machine , virtualization.info.
  5. ^ «- Разборка в загоне для синих таблеток — eWeek Security Watch» . Архивировано из оригинала 6 февраля 2012 г. Проверено 20 августа 2007 г.
  6. Рутковска сталкивается с проблемой «100% необнаруживаемого вредоносного ПО» , Райан Нарейн на zdnet.com. Архивировано 3 сентября 2009 г., на Wayback Machine.
  7. ^ Нарейн, Райан (29 июня 2007 г.). «Обновление о хакерском вызове Blue Pill: это запрещено» . zdnet.com . ЗДНет. Архивировано из оригинала 26 ноября 2009 г. Проверено 24 января 2016 г. Рутковска [...] хочет, чтобы ее команде из двух человек платили 384 000 долларов (200 долларов в час каждому для двух человек, работающих полный рабочий день в течение шести месяцев) [...] Томас Птачек из Matasano, член испытательной команды, предоставляет это Уместный ответ: «Зачем нам платить вам 384 000 долларов за покупку руткита, который, как мы уже знаем, мы можем обнаружить?»
  8. ^ Столкновение в загоне синих таблеток
  9. ^ Blue Pill 2007. Архивировано 5 октября 2009 года в Wayback Machine.
  10. ^ Blue Pill 2008. Архивировано 13 сентября 2011 года в Wayback Machine.
  11. ^ «bluepillproject.org» . 18 апреля 2008 г. Архивировано из оригинала 18 апреля 2008 г. Проверено 3 сентября 2017 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  12. ^ «Блог | Невидимые вещи» . Архивировано из оригинала 11 сентября 2007 г. Проверено 11 сентября 2007 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Blue_Pill_(software)&oldid=1146635094"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5e99f35c0106bf300e59850ead4872cb__1679785920
URL1:https://arc.ask3.ru/arc/aa/5e/cb/5e99f35c0106bf300e59850ead4872cb.html
Заголовок, (Title) документа по адресу, URL1:
Blue Pill (software) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)