这几篇都是之前看过的波兰女黑客Joanna Rutkowska的几篇博客的一点整理,翻译可能比较生硬。(她的博客地址http://blog.invisiblethings.org/)
ISA定义
Implementation Specific Attacks:基于软件的系统危险检测程序可被同特权级的恶意软件欺骗。
解决问题的新思路
使用基于硬件的设备通常是以PCI卡的形式,获取RAM的镜像。就PC架构而言,最早的两篇文章大概是关于Tribble和CoPilot。作为专用PCI卡的替代物,也可以使用火线总线(FireWire)。重点是:一旦我们可以获取内存镜像,就可以分析它,或者可以用PCI设备去检查它(CoPilot所做的)。
获取RAM背后的总体思想是读取内存的过程是通过DMA(不通过CPU)读取物理内存。但是有欺骗这种方法的手段,欺骗基于硬件的内存获取工具,使通过DMA获取的镜像,跟CPU见到的物理内存真实内容不同。
作者将在黑帽DC会上,展示基于AMD的内存获取系统的攻击。尽管是AMD特定的,但不依赖于虚拟化扩展,而且这种攻击不需要系统重启和焊接(soldering)。并使用概念证明过的代码对基于火线的内存获取方法进行测试,使用Adam Boileau’s presentation.的工具进行测试。
其他说明
专用内存获取的PCI卡非常贵,所以没有对PCI卡类型的方法进行攻击。Tribble card 太贵;US公司做了类似与Tribble的东西(和US政府合作),但是不公开任何细节;Komoku公司也和US政府机构合作,但拒绝卖CoPilot的样本(目前无法正常获取)。