|
阅读:2716回复:5
现在突破HIPS类的安全软件有什么思路?
大家有什么想法
|
|
|
沙发#
发布于:2009-03-11 13:54
可以这么做,HIPS产品都是安装在OS之上,如果反HIPS产品(At-HIPS)安装在OS之下,则HIPS产品完全被傻瓜化。该技术已经被MS和美国密西根大学的联合研究人员实现,官方名词:Virtual-Machine Based Rootkit (VMBR)。 通过安装VMBR,进而修改操作系统的启动,即操作系统启动之前启动VMBR。之后即可实现恶意服务。如果PC支持CPU辅助虚拟化,则可以借鉴BluePill的实现。
综上,通过将At-HIPS安装在OS之下,并改变启动顺序后,OS完全成了一个被监视的VM,而安装在OS上面的HIPS产品,由于已经被傻瓜化,并不能执行相应策略,反而被At-HIPS所监视。当然At-HIPS方法也可以被用于新一代HIPS产品开发,这就如一把双刃刀一样,关键在谁用。 |
|
|
板凳#
发布于:2009-03-15 00:05
是不是可以实现这样的东东?类似硬件调试器?
实际上os是装在你的debugger托管的vm上? |
|
|
|
地板#
发布于:2009-03-15 13:25
1。可以实现。
2。可以这么理解,如果你觉得这么理解方便的话。 3。OS还是安装的HW平台上的,只是通过VMBR方式,OS在运行时,就被VMBR托管。 |
|
|
地下室#
发布于:2009-03-19 15:02
有没有详细的资料?
特别是smm相关编程资料 |
|
|
|
5楼#
发布于:2010-02-22 14:48
这个是个好思路,不过好像不是所有的CPU都支持该技术吧?
|
|