Копирование без границ или передовые методики защиты CD


>>> Врезка: детектирование VMWare


Автору известны по меньшей мере три способа обнаружения VM-Ware. Во-первых, по оборудованию: виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в живой природе. Это:

q видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter;

q       сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10);

q       жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller.

Опросив конфигурацию оборудования, защищаемая программа сразу поймет, куда ее занесло.

Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx. Защите достаточно выполнить команду "arp -a", чтобы распознать хакерские планы.

В-третьих, VM-Ware имеет коварный backdoor, оставленный разработчиками для служебных целей и управляемый через порт 5658h, при этом в регистре EAX должно содержатся "магическое" число 564D5868h. Ниже приведен фрагмент кода червя Agobot, определяющий версию VM-Ware:

 

mov eax, 564D5868h ; VMWARE_MAGIC

mov ecx, 0Ah ; Get VMware version

mov edx, 5658h ; VMWARE_PORT

in eax, dx

Листинг 1 определение версии VM Ware

Для маскировки виртуальной машины, Костей Кортчинским (Kostya Kortchinsky) был написан специальный патч, изменяющий идентификационные строки оборудования, MAC-адреса и магический номер backdoor'а (http://honeynet.rstack.org/tools/vmpatch.c).

Подробнее о способах детектирования виртуальных машин можно прочитать в подборке статей Know your Enemy (на английском языке): www.honeynet.org/misc/files/papers.tar.gz;




- Начало -  - Назад -  - Вперед -



Книжный магазин