Джоанна Рутковска, известный специалист по руткитам и одна из основательниц компании Invisible Things Labs, утверждает, что разработала набор средств для взлома компьютера, которые в принципе невозможно обнаружить. Новый тип руткитов, получивший условное название "синяя таблетка" (Blue Pill), использует технологии виртуализации. По заявлениям Рутковской, разработанная методика теоретически позволяет создавать хакерские инструменты, при помощи которых можно захватить полный контроль над компьютером жертвы, оставаясь при этом незамеченным. Практически сразу после появления информации о "синей таблетке" ряд независимых экспертов по вопросам компьютерной безопасности бросили Рутковской вызов, предложив ей доказать "неуязвимость" руткита. Для этого исследовательнице было предложено установить руткит на один из двух компьютеров, после чего специальное программное обеспечение должно было бы указать на машину, контролируемую извне. Рутковска в своем блоге ответила, что готова принять вызов, однако при этом поставила ряд условий. Прежде всего, Рутковска попросила увеличить количество ПК для эксперимента до пяти, поскольку в случае двух компьютеров вероятность правильного отгадывания машины с руткитом составляет 50%. Кроме того, исследовательница подчеркнула, что сейчас "синяя таблетка" существует лишь в виде прототипа, и на ее завершение потребуются шесть месяцев при условии, что двое программистов будут работать целый день. При этом Рутковска изъявила желание получить деньги на оплату труда программистов из расчета 200 долларов в час. Если принять продолжительность рабочего дня за восемь часов, а количество рабочих дней в месяце за двадцать, то получается, что Рутковске нужно финансирование в размере 380 тысяч долларов США. Таким образом, возможность проведения соревнования поставлена под сомнение. Источник: http://security.compulenta.ru/ 03 июля 2007 года, 16:47
1)Ничто не исчезает просто так 2)то что исчезает просто так - вероятнее всего, работает по схеме, как банк кто-то однажды грабил(снимал со счта тысяные доли, которые не учитывались банковскими системами...) - т.е. я так полагаю - "невидимость" будет заключаться в инжектировании "служебных" пакетов, отсылаемых машиной - медленно, но работать будет. 3)re:"...на ее завершение потребуются шесть месяцев при условии, что двое программистов будут работать целый день..." - при условии наличия алгоритма, там будет просто огромная система, а значит не качественная, и как вообще "огромное" - может создавать "невидимость" 4)re:"что Рутковске нужно финансирование в размере 380 тысяч долларов США" - в случае успеха Рутковске оплатить работу, в противоположном нет. Имхо, попытка срубить бабло.
Ндяуже. Кстати, гдето видел обсуждение одной технологии - прога работает с тетью напрямую с драймером. тем самым сама реализует в себе Tcp\ip протокол. т.е. не юзаю системные компоненты. Тес мамым достигается почти полная невидимость сетевой активности. ИМХО, Ниодин фаер такое пропалить никогда не сможет.
Фаер может и нет, но если принцып работы проги известен, написать контртехнологию не так уж и нереально...
2 War!9g Ну всеже если незнаешь чего ожидать, то тыже не будешь хранить все средства противоборства на компе. Конечно спрятать нельзя ничего. Если кудато чтото спрятал ты, то туда могут залезть и другие
Теоритически можно написать такой "Blue Pill". 1. Написать на асме, реализовать все процедуры работы троя без вызовов библиотек, API, и т.д. чтоб трой почти не контактировал с ОС 2. Криптануть троя каким нить полиморфником, так чтоб каждый запуск генерился новый экзешник, чтобы свести на нет сигнатурную защиту. и пипец, вот вам виагра аля Blue Pills
дык это ndis im blue pill вроде эмулирует процессор, причем только x64..получается, что все обращения к процессору обрабатывает руткит
