Rootkity zawsze można wykryć
Specjaliści z uniwersytetów Carnegie Mellon i Stanforda poinformowali, że rootkity, które wykorzystują techniki wirtualizacji, są łatwe do wykrycia. Naukowcy, we współpracy z firmami VMware i XenSource opublikowali dokument pt:. "Kompatybilność to nie transparentność: mity i prawda na temat monitorów maszyn wirtualnych (VMM)". Autorzy twierdzą w nim, że: "niezależnie od tego jak małe rozmiary mają wrogie VMM, muszą wykorzystywać zasoby fizyczne maszyny, zużywać cykle procesora i chronić się. Nie są więc mniej podatne na wykrycie, niż inne VMM".
Szkodliwe oprogramowanie zawsze powoduje pewne nieprawidłowości w działaniu systemu, a te można wykryć badając logiczne niezgodności w interfejsach maszyny fizycznej i wirtualnej. "Większość obecnych metod wykrywa nieprawidłowości w działaniu wirtualnego CPU, które są niezgodne z założeniami architektury x86" - czytamy w opracowaniu. Istnieją też różnice w konfiguracjach maszyn wirtualnych i fizycznych.
Wspomniany dokument to odpowiedź na słowa Joanny Rutkowskiej, która stwierdziła, że możliwe jest stworzenie niewykrywalnego rootkita.
Źródło:
Arcabit.pl
Data dodania:
03.10.2007 20:25, przez: bArT
Czytano:
2971 razy
Ocena:
- Brak ocen
|
|