Třeba někdo vytvoří antivir který běhá v prostředí nad virtualizací (hyper - virtualizace). A tak se stane nadřazeným(mega - hypervisorem) nad tímhle badware a může ho detekovat.
A já z toho hyperzcvoknu protože Win Vista bude jistě "ještě krémovější a o 30% levnější"
:) :)

..no to se mame na co tesit:Q

No, hlavně to vypadá, že všem uživatelům se Vista postará o "přirozený rytmus jejich těla"
▼
▼

Tak to je velká legrace, zase je to o tom nakolik to windows obšancují, nakonec to dopadne tak že budeme instalovat jakýsi APP-FIREWALL, bože chraň

Hoši, tenhle "badware" není závislý na operačním systému, může napadnout klidně i Linux. Nejspíš bude stačit jenom přeložit binárku pod příslušný operační systém.

Prelozit binarku stacit nebude. Ta virtualizacia sa zapina na ring 0, ku ktoremu normalne programy v normalnom OS pristup nemaju. Ak sa k tomu dostanu, tak je to chyba CPU a nie os.

Oprava - na ring 0 sa normalny program nesmie dostat - ak to OS umoznuje tak je to chyba OS.

heh, rek bych ze tohle bude pro M$ docela rana, at zije bezpecnost jejich OS.

Jiste, ze to je pro jakykoliv operacni system. O tom je prave hardwarova virtualizace, to bylo prave cilem virtualizace, aby se o tom dnesni OS nedozvedeli, jinak by nebyli virtualizovatelne. A jde o to ze to potom bezi na novem ringu -1, ktery je nad 0 na kterym bezi jakykoliv dnesni operacni system. Takze jedina obrana asi bude "nutnost" kazdy pocitac schopny virtualizace, vzdy virtualizovat, protoze potom uz ring -1 volny pro badware nebude.
 
 

Bobris: a nebo tu nevyužitou virtualizaci natvrdo vypnout...

Hmm, ked tak rozmyslam, ak ta virtualizacia fakt bude fungovat tak dobre, ze windows nebude schopne detekovat, ze bezi virtualne, tak sa bude hodne dobre crackovat soft, a nebude existovat ochrana pod windows, ktora by sa nedala zlomit (jedine, ak by napr. nebolo mozne prehrat napr. Blue Ray na CPU bez virtualizacie a nepodpisaneho - alebo ineho ako od microsoftu - hypervizora).

1. Nic jako Ring -1 neexistuje.
2. Instrukce pro virtualizaci jsou pouze ring 0 instrukce.
3. Virtualizace se provádí host-modu.

Pěkný úvod do virtualizace v AMD procesorech naleznete na
http://developer.amd.com/articles.aspx?id=14&num=1
http://developer.amd.com/articles.aspx?id=15&num=1

Z dôvodov bezpečnosti a stability majú súčasné procesory x86 implementované v chránenom móde 4 privilegované úrovne ? ringy. Sú označené číslami 0 až 3, pričom čím menšie číslo, tým vyššie privilégiá. Operačný systém (OS) beží v ringu 0, zatiaľ čo používateľské programy bežia s nižšími právami v ringu 3. Preto sa nemôže stať (alebo aspoň by sa nemalo), že spadnutie používateľského programu zhodí celý OS. Vzhľadom na bezpečnosť a stabilitu systému musia dnešné čisto softvérové implementácie virtualizácie presunúť OS do vyššieho ringu, ako je nula. Reálne sa OS presunie buď do ringu 1, alebo do ringu 3 (XEN), zatiaľ čo v ringu 0 beží virtuálny monitor. Ten, ako už bolo spomenuté, koordinuje súčasný beh viacerých OS. Pri open-source systémoch je úprava systému uľahčená, lebo sú k dispozícii zdrojové kódy, a tak možno použiť paravirtualizáciu. Problém nastáva pri closed-source systémoch, tie chcú bežať v ringu 0 a donútiť ich prejsť na vyšší ring si vyžaduje použitie množstva trikov a kľučiek. To v konečnom dôsledku znižuje výkon virtualizovaných systémov.

Ako nám teda pomôže hardvérová virtualizácia? Jednoducho ? vlk bude sýty a ovca celá ? vznikne nový ring -1, ktorý bude mať ešte vyššiu prioritu ako ring 0. V ringu -1 bude bežať virtuálny monitor a v ringu 0 bude môcť ostať nemodifikovaný operačný systém. To prinesie menšie nároky na zložitosť virtuálneho monitora a vyšší výkon celého systému, čo platí hlavne pre closed-source systémy. Paravirtualizovaných open-source projektov sa výrazné zvýšenie výkonu netýka, pretože tie už teraz bežia na (takmer) natívnej rýchlosti.
zdroj: root.cz

To Ritchie: Mas pravdu Ring -1 neexistuje, ale samotne chovani procesoru je velmi podobne viz:
"In the background, however, the processor's AMD-V circuitry is monitoring everything, particularly the guest operating system's Ring 0 instructions. When one of them calls for a virtualized resourced managed by the VMCB, the processor switches back into Host mode again."
 
Jinak tohle je podle mne jen o zjednoduseni/zrychleni virtualizace. Softwarova virtualizace je tu jiz hodne dlouho. Takze tohle "crackovani" vitualizaci je jiz dlouho mozne, ale bohuzel priliz slozite a zpomalujici. Takze je jednoduse proste jen "opravit" ten puvodni program, at je to jiz ochrana u programu, nebo treba i "log on" screen u windowsu.
 
No a nakonec to i znamena ze se nejdrive museli dostat do Ringu 0 aby mohli pustit Host mode- takze museli byt "administratorem", nebo nejaky exploit.
 

>> Reálne sa OS presunie buď do ringu 1 <<
myslim, ze nie. pokial operacny system pouziva len ring 0 a ring 3, tak si nejaky vmware urcite nespusti OS v ring 1.

>> No a nakonec to i znamena ze se nejdrive museli dostat do Ringu 0 aby mohli pustit Host mode- takze museli byt "administratorem", nebo nejaky exploit. <<

tiez sa mi to nezda. ale asi su na to nejake specialne instrukcie, ktore nie su privilegovane a OS sa o ich vykonani nedozvie.

Dotaz s timhle se clovek muze potkat jen s AMD procesory nebo i na jinych CPU? Zatim soudim, ze by to slapalo jen na AMD.

Takže po přečtení článku a zejména diskuse člověk získá zhruba následující pocit: bude demonstrována možnost vytvořit skutečně ošklivou věc, využívající jistých vlastností AMD procesorů, díky čemuž řada diskutujících s evidentně pouze částečnou znalostí problematiky (vzhledem k tomu, jak se zde napadáte a tvrdíte protikladné věci) získává další prostor ke zkritizování Microsoftu a Visty zvláště, aniž by kdokoli zmínil zcela nejlogičtější variantu - nepoužívat procesory AMD s danou virtualizační technologií. Pak je myslím zcela vyčerpávajícím způsobem vyřešena většina vyvstávajících otázek.

Což by ovšem znamenalo dvě nepříjemné věci - A) Tentokrát možná za nic nemůže Microsoft, B) Problém s AMD.

To by byl hodně špatný den, že? Omlouvám se, ale nedalo mi to ;-)

to pao:
to je samozrejme, ze to je vec CPU a nie OS.
a nemyslim, ze by to chceli pchat do desktopovych procesorov...

pao: Intel ma take virtualizacni technologii rika ji VT (Vanderpool)
Myslim, ze to co tu ostatni pisou si ani moc neprotireci. Ja si dovolim tipnout, ze Rutkowska predvede jednu ze 2 veci:
1) Hypervisor (vrstva bezici nad operacnim systemem a zajistujici virtualni prostredi k behu), ktery bude umet smirovat uzivatele a nainstalovat se do systemu (k cemuz ale bude potrebovat reboot).
2) Diru pres kterou se 'badware' dostane z OS do ringu -1 (myslim, ze se tomu tak rikat da, i kdyz je to implementovane jinak). Tohle by asi lidem z AMD nadelalo vrasky.

ehm, s tim rebootem v bodu 1 jsem kecal. K zapnuti podpory virtualizace neni potreba. Omlouvam se.

To Pao:
Ne nejedna se chybu CPU AMD, na intelu to asy pujde taky.
Jedna se chybu OS, nebot v linuxu se na ring 0 nedostane ani root, ale muze si napsat modul a prekompilovat ho proti tomu samemu jadru a pak jako root volat nove fce jadra.

Takze M$ nerozumi virtualizaci a je tak deravy, ze si s tim muze kazdy delat co chce, napr kdyz budete mit Xen, tak do Xen0 se dedostanete, pouze Xen0 se dostane do XenU, kdyz budte Xen vypnuty, zadnou virtualizaci CPU nepujde pouzit, protoze na ni nebudou v kernelu volani. Jen nutno dodat, ze pokud si nekdo prekompiluje kernel sam, tak ve version.h se mu vytvori jedinecny identifikator a kazdy jiny modul skompilovany napr. na jine stejne masine bude povazovan za jiny, a moduly lze mit i podepsane.

Osobne to spis vidim tak, ze pokud ten virtualni stroj obsahuje nejaky bug, tak se da detekovat pomoci toho bugu - posle se nejaka sekvence instrukci a reaguje to jinak nez by melo (pripadne to trva dele nez by melo - vyuziti postraniho kanalu). Pokud si ale dam zalezet, a vnesu do toho dostatek entropie (nebude to nekde neco prodluzovat o konstatni spozdeni ...) tak je to nedetekovatelny.

Jinak vcelku chapu ze neco jinyho je koncept, ac trebas funkcni, ktery muze obsahovat prave spoustu postranich kanalu pres ktere je detekovatelny, a neco jinyho finalni pouzitelna verze.

Oni to nasi korytari stejne jakone vyresi tak, ze pod trestem smrti bude kazdy muset mit naisntalovany HW sledovalo a implatovany chip a v zajmu bezpecnosti budou sledovat kdo kdy kde a co. Sebe z toho samozrejme vyjmou.

>>spoluautor prvního přetečení zásobníku na i386<<
tak to je dobré :) řekl bych, že spoluautorem přetečení zásobníku je prakticky každý kdo někdy programoval :) akorát většina lidí se tím nechlubí

Co je vlastne na tomto dobre? Verejne sa pretekat, kto vytvori skodlivy soft? Mne to pride ako chore...Taku fenu by som poslal na nejaku plantaz tam u nich v Singapure, nech vie o com je zivot...

Jedna se o to ze virtualizace muze byt potencialne nebezpecna, a tak kdyz se tito dva navzajem honi, tak vlastne zvetsujou bezpecnost nasich OS.