科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全rootkit检测机制能阻止蓝色药丸病毒吗?

rootkit检测机制能阻止蓝色药丸病毒吗?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在谈到各自的项目时,Rutkowska和Dai Zovi都强调rootkit分析指令计数,并试图运行虚拟机指令集的检测机制。两人还探讨了如何阻止这种检测。

来源:TechTarget中国 2011年5月24日

关键字: rootkit 病毒防范

  • 评论
  • 分享微博
  • 分享邮件

  问:怎样做可以杀死重新编写过的、可以在基于Intel以及AMD处理器架构上运行的“蓝色药丸”病毒?

  答:安全研究员Joanna Rutkowska创造了“蓝色药丸(Blue Pill)”病毒,这是一个基于虚拟机的恶意软件。2006年,她在黑帽技术大会等好几个安全与黑客会议上谈到恶意软件。“蓝色药丸”背后的思想非常强大,它利用了由AMD公司最新处理器所支持的新虚拟机指令集,即所谓的安全虚拟机模式(SVM)/ Pacifica技术(这个工具自我安装为现有操作系统下的虚拟机管理程序)。Rutkowska说,恶意软件可以绕开操作系统重启进行自我安装。恶意软件“蓝色药片”很难被检测到,因为正常的操作系统代码不能访问管理程序本身。Dino Dai Zovi创造的Vitriol rootkit采用了类似的想法。Vitriol rootkit针对的是Intel的使用VT-x虚拟技术的处理器,该处理器拥有和AMD的安全虚拟机模式(SVM)/Pacifica功能类似的指令集。

  值得庆幸的是,没有必要因为“蓝色药丸”而为你的操作系统安全感到担心。虽然这种攻击方式已经产生,但蓝色药丸和Vitriol的代码既没有被广泛的发布也没有被使用。可能在未来,它们每个都是威胁,但现在,你可以做的事情不多。

  在谈到各自的项目时,Rutkowska和Dai Zovi都强调rootkit分析指令计数,并试图运行虚拟机指令集的检测机制。两人还探讨了如何阻止这种检测。Rutkowska甚至探索了预防的概念,这需要改变处理器和引导序列,并在激活虚拟化之前添加密码防御。尽管这些都是了不起的想法,但现在还不具备广泛部署的实用性,还需要依靠细心的销售商去推广。因此,你不应该对此反应过度,只需认真地关注这个领域的进展。

    • 评论
    • 分享微博
    • 分享邮件