Blue pill

最新推荐文章于 2023-11-29 19:46:46 发布
最新推荐文章于 2023-11-29 19:46:46 发布
阅读量1.2k 收藏
点赞数
分类专栏: 翻译 文章标签: 黑客 虚拟化

这几篇都是之前看过的波兰女黑客Joanna Rutkowska的几篇博客的一点整理,翻译可能比较生硬。(她的博客地址http://blog.invisiblethings.org/

Blue pill是Joanna所在Invisible Things Lab开发的一个非常轻量级的VMM软件,也是一个基于硬件虚拟化的rootkit。名字包含了黑客帝国里蓝色药丸的含义,生活在一个虚拟的世界里而不自知。

Rootkits检测

Rootkits一般基于某个原理,如果知道了这个原理,就能检测到指定的rootkit。如:

  • FU基于从内核活跃进程列表中解除EPROCESS拦截链接;
  • Shadow Walker基于钩住页面异常处理程序,并标记某些页面为无效;
  • deppdoor基于改变NDIS数据结构的一些域。

然而,尽管Blue pill原理公开了,依然不能被检测出来(这里的不能检测指的是100%不可探测,后来作者更新了Blue pill的检测方法。)。Blue pill背后的思路:操作系统“吞下”Blue pill,在Blue pill控制的空间里(原文用的是Matrix,嘿嘿)被唤醒。这个过程是即时的(不需要重启),没有性能损失,所有设备完全可以访问操作系统(实际在虚拟机中运行的)。所用到的技术基础:AMD SVM/Pacifica虚拟化技术。

和SubVirt rootkit的比较

  1. Subvirt是永久的rootkit(重启仍有效),其安装需要在原始操作系统启动之前获取控制权(Blue pill随时都可以,on-the-fly),而且必须引入一些硬盘修改,因此可以进行离线检测。
  2. Subvirt在x86上实现,不能达到100%虚拟化,有一些非特权的敏感指令(SIDT/SGDT/SLDT),可以进行虚拟模式的常规检测。Blue pill依赖于AMD SVM技术,避开了这个问题。
  3. Subvirt基于一款商用VMM(Virtual PC and/or VMWare),这些应用创建操作系统使用的虚拟设备,这和真实的底层硬件不一样,可以进行虚拟机的简单检测。

此外,Blue pill并不依赖于任何操作系统的漏洞。

Blue pill的检测

和其他基于硬件的VMM一样,Blue pill需要拦截一些事件和指令。这里需要注意 RDMSR EFER(SVM)指令,因为EFER寄存器的第12位指示着处理器是否工作在SVM模式,这个没必要欺骗用户。

所以,我们可以考虑通过测量给定的指令执行时所花的处理器滴答数来检测Blue pill。方法很简单,使用RDTSC指令,返回处理器时间戳计数。作者做了测量,结果为RDMSR执行一般需要90个滴答,而Blue pill系统需要2100个滴答,你可能会说这个差别也太大了吧!

但是,SVM(和Intel VT-x)在VMCB中提供了一个特殊变量TSC_OFFSET,这个可以用来对用户隐瞒多余的滴答数。在返回给guest前将这个变量设为-2010。guest通过RDTSC指令无法知道RDMSR指令执行了多少多余的滴答数。这里假设某个检测程序的测试案例是这样:调用RDMSR几百万次,然后使用外部时钟观察时差,假设正常时运行1分钟。(VMM可以更改内部时钟结果)

那么这种检测存在几个问题:
(1)如何产生一个刚好执行一分钟(或者别的时间)的测试代码,考虑不同的处理器模型,和不同的速度。假设通过某些不能被拦截的指令来测试处理器速度,但是由于RDTSC指令本身能被拦截,这些指令执行的滴答数还是可以伪造的。不过在极端情况下,你可以在感染Blue pill前和感染后进行测试,但这不是最实际的情形。(这种检测目前没有绕过的方法)

这样就面临一个可能误判和漏判的问题,假设测试花了五分钟,那这是因为机器执行了一个太大的测试代码,处理器真的跑了5分钟,还是这意味着感染了Blue pill呢?(- it’s just that on a new processor model maybe the RDMSR interception slowdown would be of a factor of 5 instead of 20 as it’s with the processor I have right now. And if it was 15 minutes?)

(2)目前来看这不是一个大问题,因为市场上支持SVM的AMD处理器只有两种模式,两种模式时钟速度没有什么差别。所以,可以将测试代码硬编码到检测程序中(因为延时太大了),但是几年之后这种情形会变化,因为将会有很多处理器支持硬件虚拟化,我们将有一个处理器模型的数据库,对每种类型进行测试将有多少测试代码(检测程序怎么检测运行在那种处理器上?CPUID指令本身可以被拦截)。对用户来说,这种测试比较麻烦,因为需要某种外部时间测量工具。

我们所需的是可靠的测试程序,能根据当前是否处在VM之中返回确定的0或1(而目前没有发现这样一个通用的程序)。

考虑到完备性,作者提到了另一种检测方法,这在她的演讲中有提到,这种攻击很可靠,而且可以被实现为一个单独的程序,但是若系统被Blue pill感染,它只允许系统crash掉。

aqifz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NewBluePill深入理解硬件虚拟机(PDF+配套源码
03-24
这是本人在实际项目中 借鉴的资料,电子书都是随书以前购买而来,请放心使用
SimpleFOC(七)——STM32(Bluepill)的应用
热门推荐
loop222的博客
06-18 1万+
目录说明一、Bluepill说明1.1、最小系统板1.2、下载模式说明二、软件安装2.1、安装库文件和示例2.2、放入安装文件夹2.3、重新打开IDE2.4、选择上传方式为串口2.5、安装编译器2.6、安装SAM三、点亮LED3.1、硬件准备3.2、示例演示四、I2C读取编码器4.1、硬件准备4.2、示例演示五、双I2C读取编码器5.1、硬件准备5.2、示例演示六、SPI读取编码器6.1、硬件准备6.2、示例演示七、PWM输出7.1、硬件准备7.2、示例演示八、Bluepill+simpleFOCShiel
NewBluePill:深入理解硬件虚拟机
12-25
NewBluePill:深入理解硬件虚拟机,学习VT技术必备!不知道是不是完整版,本打算免费,但是最少选1分!
NewBluePill++深入理解硬件虚拟机
07-01
NewBluePill++深入理解硬件虚拟机
学习BluePill源码笔记-1
XboxMicro
06-29 3158
VT-X太高端霸气上档次了,实在是看不懂...
bluepill_pinout_PINS_bluepill_
09-29
标题中的"bluepill_pinout_PINS_bluepill_"指的是有关Blue Pill开发板的引脚图(pinout)信息,其中"PINS"是针脚或引脚的简称,而"bluepill"则是指流行的STM32微控制器开发板——Blue Pill。这个压缩包文件包含了...
blue pill.rar_BLUE_blue pill
09-21
标题中的"blue pill.rar_BLUE_blue pill"提到了“Blue Pill”这个关键词,这通常是指STM32F103C8T6微控制器开发板,因其蓝色PCB板而得名,常被爱好者用于 Arduino 项目。在Arduino的世界里,Blue Pill作为一款低成本...
bluepill-serial-monster:用于STM32 Blue Pill的USB转3端口串行(UART)适配器固件
04-06
蓝丸系列怪物bluepill-serial-monster是STM32 Blue Pill的固件,可将其转变为3端口USB到串行适配器。 该固件实现了一个USB 2.0全速复合设备,该设备由3个USB CDC设备组成。 STM32 Blue Pill是一种价格低廉的STM32...
bluepill:Bluepill 是一款可靠的 iOS 测试工具,可在单台机器上使用多个模拟器运行 UI 测试
07-24
Bluepill 是一种使用多个模拟器并行运行 iOS 测试的工具。 动机 创建了 Bluepill 以在合理的时间内运行其大型 iOS 测试套件。 如果你想要长篇大论,请阅读。 特征 使用多个模拟器并行运行测试。 自动将测试打包成组...
bluepill:Bluepill是可靠的iOS测试工具,可在一台计算机上使用多个模拟器运行UI测试
02-03
Bluepill是使用多个模拟器并行运行iOS测试的工具。 动机 创建了Bluepill,以在合理的时间内运行其大型iOS测试套件。 如果您想讲长话,请阅读。 产品特点 通过使用多个模拟器并行运行测试。 自动将测试分组。 以...
swift-Bluepill一个使用多个模拟器并行运行iOS测试的工具
08-15
Bluepill 一个使用多个模拟器并行运行iOS测试的工具
new-blue-pill源码带注释
09-09
New Blue Pill源代码。 基于硬件虚拟化技术的windows下Rootkit。 2006 年 Black Hat上发表。
Blue Pill源代码分析(1)
lzz14的专栏
03-29 7850
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill的源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
RT-Thread STM32F103C8T6最小系统板BluePill BSP说明
华为奋斗者精神
11-29 1741
本文档为 STM32F103C8T6最小系统板(BluePill) 的 BSP (板级支持包) 说明。开发板资源介绍BSP 快速上手进阶使用方法通过阅读快速上手章节开发者可以快速地上手该 BSP,将 RT-Thread 运行在开发板上。在进阶使用指南章节,将会介绍更多高级功能,帮助开发者利用 RT-Thread 驱动更多板载资源。STM32F103C8T6最小系统,采用SWD调试接口,可以用3个接口就能完成调试下载的任务,采用了官方建议的负载RTC晶振方案,小体积高频率的STM32实验板。
Blue Pill的编译和安装
lzz14的专栏
07-05 4074
抱歉,因为工作比较忙,有三个月没有更新了。估计后面都会比较忙,我尽量抽空更新。一、安装之所以先说安装是因为编译和安装方式有关系。Blue Pill有两种安装方式:1、windows普通内核模式驱动安装方式这种方式具体又有多种方式,需要写注册表的、使用未公开的Native API不需要写注册表的。网上找可以找到,或者看《Rootkits--Windows内核的安全防护》。2、shell code方式
blue-pill代码解读
inquisiter
09-21 1016
一、虚拟机启动 整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。 再往上,一段汇编。调用HvmSubvertCpu CmSubvert (PVOID GuestRsp); CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu
Blue Pill、硬件虚拟化谈安全防护完备性上的一个小原则
XboxMicro
02-28 1493
原文地址http://blogs.360.cn/360safe/2013/09/30/from-bluepill-vmx-to-a-simple-defence-principle/ 多年没写博客了,就先捡点剩菜剩饭炒炒,没啥营养,同学们可以随便看看。另外就是文笔真心烂,阅读的同学们需要点耐心。 这篇博客说说一个安全防护系统完备性上所需的一个小原则:防护系统与被防护对象所用资源的完全隔
使用STM32F103构建基于SPI通信的SD卡读卡器:基于“Blue Pill”板的实践指南及代码示例
qq_38334677的博客
06-29 460
在众多微控制器中,STM32F103是使用非常广泛的一种,其强大的性能和丰富的外设支持赢得了许多开发者的青睐。在此文中,我将为大家分享如何使用STM32F103(基于“Blue Pill”板)实现基于SPI的SD卡读卡器。在开始阅读之前,我想提醒大家,此文可能并不能涵盖所有你想要了解的细节。我会尽我所能,以最简洁明了的方式讲解。如有不明之处,还请海涵,欢迎提问。实战项目下载。
Rootkit演变
yaneng的专栏
06-18 2636
Rootkit 概述         我第一次接触rootkit是在2004年,当时我还是一个rookie病毒分析师,具备一定的关于UNIX的 rootkit病毒的相关知识。有一天我无意中发现windows系统中的一个可执行程序,在我登录这个程序的时候,windows系统似乎没有做出任何反应。我觉得很有趣,并且准备进一步探究这个程序,然后我发现在载入模块列表中有个文件并没有出现在磁盘上。很显然
stm32f103c8t6-blue pill
最新发布
05-20
STM32F103C8T6 Blue Pill是一款基于ARM Cortex-M3内核的微控制器开发板,由STMicroelectronics公司生产。它具有72 MHz的时钟频率和64 KB的Flash存储器,可以用于各种应用程序,例如工业控制、医疗设备、家庭自动化和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值