ixus55fan Geschrieben 20. Juli 2007 Teilen Geschrieben 20. Juli 2007 Hi. Ich hab irgendwo einen Artikel gesehen, da ging es um "Virtualisierung mal auf die böse Art", d.h. eine Schadsoftware kann ein laufendes WindowsXP in ne virtuelle Maschine verschieben (für den Benutzer unbemerkt) und parallel ne zweite virtuelle Maschine mit reiner Schadsoftware aufziehen (die prinzipbedingt nicht vom Virenscanner in der original-XP-Installation erfasst wird). Ich weiß nimmer, ob die Software schon raus ist oder ob es da "nur" um einen Wettbewerb zur Erstellung ging? Weiss jemand näheres? Bye. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lordy Geschrieben 20. Juli 2007 Teilen Geschrieben 20. Juli 2007 Die gibt es wohl schon... Blue Pill (malware) - Wikipedia, the free encyclopedia Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ixus55fan Geschrieben 21. Juli 2007 Autor Teilen Geschrieben 21. Juli 2007 Die gibt es wohl schon... Als (angezweifelter) Proof-of-Concept oder In-the-Wild? Wenn man sich den eingefangen hat, dann muss man den ja eigentlich sehen, wenn man von CD bootet. Bzw. manche Leute nutzen ja die gesamte Platte, wo installiert der sich da? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cadpax Geschrieben 21. Juli 2007 Teilen Geschrieben 21. Juli 2007 Dass Ding existiert laut Joanna Rutkowska und c't als PoC. Funktionsweise nud mehr infos auf ihrer Seite: invisiblethings.org Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lf_dy_laglc Geschrieben 2. August 2007 Teilen Geschrieben 2. August 2007 Hier gibts Neuigkeiten: heise online - Virtualisierungs-Rootkit Blue Pill frei verfügbar ================================================= Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 stellt sie einen Prototypen des Rootkits vor. Das neue Blue Pill wurde nicht nur überarbeitet, sondern bietet neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines). Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Blue Pill unterstützt dabei AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Intels Lösung VT-x kann Blue Pill noch nicht nutzen. Dafür soll Blue Pill einige Funktionen bieten, die seine Erkennenung durch Rootkit-Detektoren erschweren sollen. Unter anderem soll es in der Lage sein, auch verschachtelte Hypervisors zu unterstützen, sowie die Abfrage des Time Stamp Clock Registers (TSCR) zu manipulieren (RDTSC cheating), um zu verhindern, dass ein Spürhund gestohlene CPU-Zyklen entdeckt. Offenbar haben Rutkowsa und der Mitautor von Blue Pill, Alexander Tereshkin, damit auf die Kritik von Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec reagiert: Sie wollen nicht so recht glauben, dass Blue Pill unentdeckbar ist und hatten Rutkowsa zu einem Wettkampf herausgefordert – dem sie allerdings geschickt aus dem Wege ging. Allerdings gibt es in der nun veröffentlichten Version trotzdem ein paar Einschränkungen: Virtual PC 2007 stürzt ab, wenn es in Blue Pill läuft – womit Ptacek, Lawson und Ferrie einen ersten Treffer erzielen könnten. Zudem soll die Manipulation des Time Stamp Registers (RDTSC cheating) noch sehr einfach implementiert sein. Die derzeit zum Download angebotene Version lässt sich offenbar nur unter Windows mit dem Driver Development Kit (NTDDK) übersetzen. ================================================= Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cadpax Geschrieben 2. August 2007 Teilen Geschrieben 2. August 2007 Naja, ich vermute, dass die Signatur vom eig. Code schon den Weg in die AV-Labs macht. Zudem warten laut Bericht die Hersteller ja nur auf diese "Herausforderung". Zumal gibt es ja auch schon möglichkeiten, um rauszufinden, ob eine Maschine in einer VM läuft (Hab das leider grad nicht mehr bei Hand). Ich denke, dass es nicht sooo dramatisch wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lf_dy_laglc Geschrieben 2. August 2007 Teilen Geschrieben 2. August 2007 Zumal gibt es ja auch schon möglichkeiten, um rauszufinden, ob eine Maschine in einer VM läuft (Hab das leider grad nicht mehr bei Hand). Ich denke, dass es nicht sooo dramatisch wird. heisst red pill. Wieviel Leute laden sich so ein Tool runter? MS verlangt ja oft/immer WGA, da fallen ja die ganzen gecrackten XP-Versionen durch. und z.b. meine Freundin hat (immer noch) analog-modem 56k, da hat sie seit monaten keine antiviruspattern selbst gezogen (von mir auf usb-stick mitgebracht) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cadpax Geschrieben 2. August 2007 Teilen Geschrieben 2. August 2007 Richtig, Red Pill... Jeder sollte ein Grundverständnis für den sicheren Umgang mit Internet haben. Ich z.B. erkläre jedem, dem ich einen Computer installiere, wie der AV funktioniert, dass er auf dem laufenden gehalten werden muss und woran man erkennt, ob er läuft. Ggf. das gleiche bei der Firewall. Auch wenn es manchmal nerven kostet, das jemandem zu erklären. Lustig ist ja, mal nebenbei, dass Red Pill nur auf Intel läuft, und Blue Pill nur auf AMD-Maschinen. Ich warte auf Verschwörungstheorien. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast Quark Geschrieben 6. August 2007 Teilen Geschrieben 6. August 2007 [...] Lustig ist ja, mal nebenbei, dass Red Pill nur auf Intel läuft, und Blue Pill nur auf AMD-Maschinen. Ich warte auf Verschwörungstheorien. wenn Redpill nur auf Intel, und Bluepill nur auf AMD CPU's läuft, wie kann man dann Redpill dazu verwenden um herauszubekommen ob Bluepill installiert ist? oder habe ich da jetzt etwas falsch verstanden? heisst red pill. Wieviel Leute laden sich so ein Tool runter? MS verlangt ja oft/immer WGA, da fallen ja die ganzen gecrackten XP-Versionen durch. und z.b. meine Freundin hat (immer noch) analog-modem 56k, da hat sie seit monaten keine antiviruspattern selbst gezogen (von mir auf usb-stick mitgebracht) fragezeichenquark Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cadpax Geschrieben 6. August 2007 Teilen Geschrieben 6. August 2007 wenn Redpill nur auf Intel, und Bluepill nur auf AMD CPU's läuft, wie kann man dann Redpill dazu verwenden um herauszubekommen ob Bluepill installiert ist? Gar nicht? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast Quark Geschrieben 6. August 2007 Teilen Geschrieben 6. August 2007 Gar nicht? bin ich dann zu doof oder hat sich lf_dy_laglc vertan? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cadpax Geschrieben 6. August 2007 Teilen Geschrieben 6. August 2007 Er meinte es, meinem Verständnis nach, generell. Die Information, dass die beiden für verschiedene Prozessortypen bestimmt sind, stand zu dem Zeitpunkt noch nicht im Raum. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast Quark Geschrieben 6. August 2007 Teilen Geschrieben 6. August 2007 ich habe das in diesem Thread so verstanden: Redpill dient dazu, herauszubekommen ob der PC in einer Virtuellen Maschine läuft. Bluepill dagegen "schiebt" ein Betriebssystem vom Benutzer unbemerkt in eine virtuelle Maschine Demzufolge könnte Redpill den Bluepill nachweisen. oder bin ich jetzt vollkommen in der falschen Matrix? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 7. August 2007 Teilen Geschrieben 7. August 2007 Eine Möglichkeit nachzuweisen, dass man in einer VM läuft ist z.B. einen zweiten Hypervisor zu starten. Ein Hypervisor überwacht die VM und kontrolliert den Zugriff auf die Hardware etc. In einer von einem Hypervisor überwachten Umgebung läuft normalerweise kein zweiter Hypervisor. Eine weitere Möglichkeit ist es, die fehlende Prozessorzeit zu ermitteln. Da zur Virtualisierung auch Prozessorzeit benötigt wird, steht die natürlich dem virtualisierten System nicht zur Verfügung. Beides soll von BluePill abgefangen werden. In der Realität tut es das aber wohl nicht 100%. Die eine Seite wartet auf die Herausforderung eine Virtualisierung zu entdecken, die andere Seite auf die Herausforderung eine Virtualisierung verstecken zu können. Wer am Ende gewinnt, keine Ahnung. Und wenn man sich die Verbreitung von Viren etc. ansieht, dann braucht man sich keine große Hoffnung zu machen a la: "Die Signaturen sind doch schon längst upgedatet". Ich kenne immer noch Leute, die mich erstmal verdutzt angucken, wenn ich sie nach ihrem Antivirus-Programm frage... EDIT: Ach ja... weil es gerade irgendwie passend ist Stell dir vor, du bist in einem total dunklen Raum. Absolut dunkel, kein bisschen Licht. Die Wände sind nicht zu erreichen (praktisch grenzenlos). Wie würdest du sicher feststellen können, ob du dich nicht auf einem Förderband befindest, das sich langsam bewegt und dessen Rand du aber nicht erreichen kannst? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast Quark Geschrieben 8. August 2007 Teilen Geschrieben 8. August 2007 [...] Ach ja... weil es gerade irgendwie passend ist Stell dir vor, du bist in einem total dunklen Raum. Absolut dunkel, kein bisschen Licht. Die Wände sind nicht zu erreichen (praktisch grenzenlos). Wie würdest du sicher feststellen können, ob du dich nicht auf einem Förderband befindest, das sich langsam bewegt und dessen Rand du aber nicht erreichen kannst? Ich würde etwas nach oben werfen und beobachten, ob es auf mich oder neben mich fällt. zum Thema: Abgesehen davon das die meisten End-Anwender wahrscheinlich schon bei dem Wort "Virtualisierung" ein Fragezeichen im Gesicht haben ist es klar das ein Großteil der User soetwas wahrscheinlich nicht merken würde (z.B. weil kein oder ein veralteter Virenscanner installiert ist). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 8. August 2007 Teilen Geschrieben 8. August 2007 Ich würde etwas nach oben werfen und beobachten, ob es auf mich oder neben mich fällt. Heute morgen bei der Fahrt im auto ist mir eingefallen, das Gedankenexperiment geht ganz anders: Es befinden sich 2 Laufbänder nebeneinander, du siehst nichts und befindest dich auf einem der Bänder. Du kannst auf das andere wechseln (gehen, springen etc.) aber nicht davon runter. Eines der Bänder bewegt sich, das andere nicht. Kannst du merken welches der beiden sich bewegt? EDIT: Und von daher passt es dann doch nicht so 100% zum virtualisierten Betriebssystem in dem du dich befindest, oder eben nicht... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gouranga Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 Na klar kann man es kontrollieren. Einfach auf beiden Bänder etwa nach oben werfern und schauen wo es runterfällt. Somit bekommt man die VM durch einen simplen Vergleich raus. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ixus55fan Geschrieben 14. August 2007 Autor Teilen Geschrieben 14. August 2007 und schauen wo es runterfällt. geht nicht, ist komplett dunkel, und die kannst den Rand des Bandes nicht erreichen, um zu tasten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Klotzkopp Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 Einfach auf beiden Bänder etwa nach oben werfern und schauen wo es runterfällt. Das funktioniert nicht. Wenn du auf einem sich bewegenden Band etwas senkrecht nach oben wirfst, behält es die horizontale Geschwindigkeit des Bandes bei. Wenn du im fahrenden Auto einen Ball senkrecht nach oben wirfst, fliegt er dir ja auch nicht ins Gesicht, sondern landet wieder in deiner Hand. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gouranga Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück! das wird am ehesten klar, wenn man alle faktoren stark vergrößert -> geschwindigkeit des auto + wurf erhöhen! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Klotzkopp Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück!Nein, er landet wieder in deiner Hand (wenn das Auto seine Geschwindigkeit nicht ändert, und der Ball nicht durch Fahrtwind o.ä. abgelenkt wird). Die Hand hat sich natürlich inzwischen weiterbewegt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gouranga Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 wie sollte er? ich bewege mich mit meinem auto vom ball fort! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ixus55fan Geschrieben 14. August 2007 Autor Teilen Geschrieben 14. August 2007 wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück! Doch sicher. Fakt ist: Die Erde dreht sich um sich selbst? Stimmst Du zu: Ja oder Nein? Fakt ist: Die Erde dreht sich um sich selbst in einem Tag? Stimmst Du zu: Ja oder Nein? Wenn du einen Basketball nach unten fallen lässt (schwerkraft) dann springt senkrecht nach oben zurück. Stimmst Du zu: Ja oder Nein? Gemäss deiner These müsste er ja dann mit Winkel zurückspringen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Klotzkopp Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 wie sollte er? ich bewege mich mit meinem auto vom ball fort!Nein, tust du nicht. Wenn du in einem sich bewegenden Bezugssystem etwas senkrecht nach oben wirfst, hast du als Resultierende die Überlagerung der senkrechten Bewegung des Wurfs und der horizontalen des Bezugssystems. Klassische Newtonsche Mechanik. Wäre auch etwas gefährlich, wenn du im Flugzeug einen Ball fallen lässt, und der bohrt sich dann mit mehreren hundert Kilometern pro Stunde in dich rein Die Sonne (und damit auch die Erde) bewegt sich übrigens mit über 200 Kilometern pro Sekunde um das Zentrum der Milchstraße (auch wenn das nur im relativistischen Sinne eine gleichförmige Bewegung ist). Es wäre schlecht, wenn sich das so auswirken würde, wie du es beschreibst. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gouranga Geschrieben 14. August 2007 Teilen Geschrieben 14. August 2007 Doch sicher. Fakt ist: Die Erde dreht sich um sich selbst? Stimmst Du zu: Ja oder Nein? Fakt ist: Die Erde dreht sich um sich selbst in einem Tag? Stimmst Du zu: Ja oder Nein? Wenn du einen Basketball nach unten fallen lässt (schwerkraft) dann springt senkrecht nach oben zurück. Stimmst Du zu: Ja oder Nein? Gemäss deiner These müsste er ja dann mit Winkel zurückspringen. Ersten drei fakten JA! Gemäss meiner These, landet der Ball dort wo er hinaufgewurfen wurde! "Klotzkopp schrieb. Wenn du im fahrenden Auto einen Ball senkrecht nach oben wirfst, fliegt er dir ja auch nicht ins Gesicht, sondern landet wieder in deiner Hand." Und das würde bedeuten das er in einem Winkel nach von auf dei Hand des Werfers zurückfliegt 8der vom Ausgangspunkt sich durch das fahrende Auto entfernt hat) Wenn ich auf einem Feld renne, und meinen ball in die Luft werfe, und weiter renne. Landet er garantiert nicht wieder in meiner hand!! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.