昨天Nguyen Anh Quynh先生send给我了一封email,说今年会到中国的Xcon’09上进行一次演讲,演讲内容是他最近研究的一种在虚拟机之外的rootkit检测方法。
看Nguyen Anh Quynh先生的大致意思是这样的:一般的时候我们在检测病毒的时候,一般是在VM里面,这个VM包括了AntiVirus程序检测的简易VM。而Nguyen Anh Quynh的设计独立于vm之外,通过扫描vm的物理内存,进行检测。据Nguyen Anh Quynh介绍,他的这种检测方法可以解决大部分的kernel rootkit和ring3 rootkit。
我个人认为,这种方法看似巧妙,但是实际上还是有很大的缺陷在里面。假如我作为Vxer的时候,一定会采用防止VM run的方法。这是一个高级病毒maker一定会做的事情。而且,在自己的病毒或者rootkit中使用polymorphism和metamorphism。当然,说起来,在病毒和ring3级别的rootkit中使用这些技术较为简单,但是在ring0级别的rootkit中,这种技术倒是个硬伤。
那好吧,我们抛开ring0 rootkit不谈,假如我检测自己在VM底下,我选择不decode我的代码和执行,反而去解密一些较为正常的代码,变成一个在VM下无害的病毒呢?相信这些技术,作为一个熟练的Vxer应该是都已经掌握了的技巧了吧。
今年的xcon我不一定可以抽出时间来过去,真是遗憾不能再次听到Nguyen Anh Quynh的精彩演讲了。非常遗憾,希望以后有机会再联系吧。
[Update 07-23] 今天Xcon公布了新的议题内容,看起来比去年更加诱人一些。Nguyen Anh Quynh先生的程序是应用在邮件Server上,难怪会有讨论中的那些发言了。
这个技术看来和 jiang 教授的类似啊
http://vm-kernel.org/blog/2009/06/23/paper-reading-stealthy-malware-detection-through-vmm-based-out-of-the-box-semantic-view-reconstruction/
@yajin, 这个议题可能我当时看错了- -