Detectando o Blue Pill?

Sexta-feira, Agosto 03, 2007

Fernando Cima decreve algumas possíveis formas de detectar o Blue Pill. Mas essas técnicas não me parecem capazes de detectar um Blue Pill, mas sim de detectar um hypervisor. Se um anti-rootkit não for capaz de diferenciar um blue pill de um hypervisor válido, a teoria do blue pill continua válida. Essa, por a acaso, é a opinião da própria Joanna. A propósito, o código do Blue Pill e a apresentação da Joanna no Black Hat deste ano estão disponíveis.

Marcadores:

Anonymous Fernando Cima 10:20 AM  

Oi Gustavo,

Como dizem os gringos, a Joanna quer mover os postes do gol dizendo agora que detectar um hypervisor não é suficiente, voce tem que detectar especificamente o "Blue Pill".

Acho esse argumento da Joanna extremamente fraco. Se você descobre que está rodando um hypervisor, e você não deveria estar rodando um hypervisor, então algo está errado.

E se você já está usando o hypervisor, isso por si só já seria um grande impedimento para a instalação do Blue Pill (além do exploit de kernel, voce precisaria de um exploit do hypervisor). Ainda assim, a rotina de detecção do Blue Pill poderia ser rodada a partir do seu hypervisor, que supostamente roda diretamente na máquina virtual.

Abracos,

Anonymous Fernando Cima 12:18 PM  

... a partir do seu hypervisor, que supostamente roda diretamente na máquina real.

Postar um comentário