Blue Pill (programvara)

Blue Pill är kodnamnet för ett rootkit baserat på x86-virtualisering . Blue Pill krävde ursprungligen AMD-V (Pacifica) virtualiseringsstöd, men portades senare för att även stödja Intel VT-x (Vanderpool). Den designades av Joanna Rutkowska och demonstrerades ursprungligen vid Black Hat Briefings den 3 augusti 2006, med en referensimplementering för Microsoft Windows Vista- kärnan.

Namnet är en referens till konceptet röda piller och blått piller från 1999 års film The Matrix .

Översikt

Blue Pill-konceptet är att fånga en körande instans av operativsystemet genom att starta en tunn hypervisor och virtualisera resten av maskinen under den. Det tidigare operativsystemet skulle fortfarande behålla sina befintliga referenser till alla enheter och filer, men nästan vad som helst, inklusive hårdvaruavbrott, förfrågningar om data och till och med systemtiden kunde fångas upp (och ett falskt svar skickas) av hypervisorn. Det ursprungliga konceptet med Blue Pill publicerades av en annan forskare vid IEEE Oakland i maj 2006, under namnet VMBR (virtual-machine based rootkit).

Rutkowska hävdar att, eftersom vilket detekteringsprogram som helst kan luras av hypervisorn, kan ett sådant system vara "100% oupptäckbart". Eftersom AMD-virtualisering är sömlös till sin design, är det inte meningen att en virtualiserad gäst ska kunna fråga om den är en gäst eller inte. Därför är det enda sättet som Blue Pill kunde upptäckas om virtualiseringsimplementeringen inte fungerade som specificerat.

Denna bedömning, som upprepas i ett flertal pressartiklar, är omtvistad: AMD utfärdade ett uttalande som avvisade påståendet om fullständig oupptäckbarhet. Vissa andra säkerhetsforskare och journalister avfärdade också konceptet som osannolikt. Virtualisering kunde upptäckas av en timingattack som förlitar sig på externa tidskällor.

2007 utmanade en grupp forskare Rutkowska att sätta Blue Pill mot deras rootkit-detektorprogramvara vid det årets Black Hat-konferens, men affären ansågs vara en no-go efter Rutkowskas begäran om $384 000 i finansiering som en förutsättning för att delta i tävlingen. Rutkowska och Alexander Tereshkin motsatte sig belackares påståenden under ett efterföljande Black Hat-tal och hävdade att de föreslagna upptäcktsmetoderna var felaktiga.

Källkoden för Blue Pill har sedan dess offentliggjorts under följande licens: All obehörig användning (inklusive publicering och distribution) av denna programvara kräver en giltig licens från upphovsrättsinnehavaren. Denna programvara har endast tillhandahållits för utbildningsbruk under Black Hat-utbildningen och konferensen.

Rött piller

Red Pill är en teknik för att upptäcka närvaron av en virtuell maskin som också utvecklats av Joanna Rutkowska .

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Blue_Pill_(software)&oldid=1112135047 "