mboost-dp1
Intel
hmm... kan forstille mig denne situation ved opstarten af en computer, hvor man lige netop har installert en ny processer i maskinen: no connection to cpu, firewall block´d the signal... :)
Monopol eller ej, mit gæt er at der kommer en mulighed for at slå denne feature fra - så kan man jo igen bruge sin Intel CPU som man lyster.
Iøvrigt har Symantec samarbejde med en række andre hardware producenter allerede - bla. Cisco, som ved deres Adaptive Security Appliance (ASA Firewall) har mulighed for at slå URL, P2P, IM, og andre scanings metoder til i samarbejde med bla. Symantec.
Det gør jo kun samarbejdet mellem hardware og software mere flydende. Og hvis man ikke bryder sig om ideén/mener det er monopol - ja så kan man jo undlade at benytte disse features.
Jeg glæder mig kun over at man som hardware producent er begyndt at tænke i sikkerhed, som skal være tranperant for den enkelte bruger. For emnet er jo ikke ligefrem nemt for den enkelte hr og fru Danmark.
Iøvrigt har Symantec samarbejde med en række andre hardware producenter allerede - bla. Cisco, som ved deres Adaptive Security Appliance (ASA Firewall) har mulighed for at slå URL, P2P, IM, og andre scanings metoder til i samarbejde med bla. Symantec.
Det gør jo kun samarbejdet mellem hardware og software mere flydende. Og hvis man ikke bryder sig om ideén/mener det er monopol - ja så kan man jo undlade at benytte disse features.
Jeg glæder mig kun over at man som hardware producent er begyndt at tænke i sikkerhed, som skal være tranperant for den enkelte bruger. For emnet er jo ikke ligefrem nemt for den enkelte hr og fru Danmark.
Jeg har skrevet et kandidat projekt omkring Virtuel Maskine Baseret Rootkits (VMBR).
Der er reelt kun 2 måder at sikrere sig mod VMBR på computer der understøtter vmx i cpu'en (Intel-VT og AMD-V):
1/Slå vmx fra.
2/Være 100% sikker på at du starter den hyperviseren så du har det nederest niveau hvorfra du kan detekter og stoppe installationen af en VMBR.
Som jeg læser det forsøger de 2/. MEN hvis den er udført i ren hardware, kan den ikke opdateres hvis der er fejl eller nye metoder til at omgå detektionen. Er den delvist udført i software vil det formentlig være muligt at fange og manipulere de interrupts som løsningen giver for at gøre resten af systemet opmærksom på problemet.
Der er en masse andre måder hvorpå det er muligt at detekter en VMBR når først den er installeret. Men alle de automatiske der indtilvidere er blevet forslået, er det muligt for en VMBR at undgå. Det er muligt at lave manuelle tests, men det tager simpelthed forlang tid, til at det er praktisk muligt.
(beklager de mange stave- og gramtikfejl, det er rigtig mange timer siden jeg stod op... = jeg skulle have været gået i seng for mange timer siden og ikke side og skrive et indlæg på newz, der tilnærmelsesvist skulle tages seriøst! godnat)
Der er reelt kun 2 måder at sikrere sig mod VMBR på computer der understøtter vmx i cpu'en (Intel-VT og AMD-V):
1/Slå vmx fra.
2/Være 100% sikker på at du starter den hyperviseren så du har det nederest niveau hvorfra du kan detekter og stoppe installationen af en VMBR.
Som jeg læser det forsøger de 2/. MEN hvis den er udført i ren hardware, kan den ikke opdateres hvis der er fejl eller nye metoder til at omgå detektionen. Er den delvist udført i software vil det formentlig være muligt at fange og manipulere de interrupts som løsningen giver for at gøre resten af systemet opmærksom på problemet.
Der er en masse andre måder hvorpå det er muligt at detekter en VMBR når først den er installeret. Men alle de automatiske der indtilvidere er blevet forslået, er det muligt for en VMBR at undgå. Det er muligt at lave manuelle tests, men det tager simpelthed forlang tid, til at det er praktisk muligt.
(beklager de mange stave- og gramtikfejl, det er rigtig mange timer siden jeg stod op... = jeg skulle have været gået i seng for mange timer siden og ikke side og skrive et indlæg på newz, der tilnærmelsesvist skulle tages seriøst! godnat)
Et af de større problemer med signatur baseret antivirus er at det er forholdvis nemt at ændre signaturen af en virus. Hvormed en ellers kendt virus kan dykke under radaren.
En meget anvendt metode er at pakke virusen med en eller flere ukendte pakkere. Hvilket gør at antivirus programmet ikke helt ved hvornår det skal søge efter den del af virusen som det kender.
Det er en problematik som er blevet addresseret på flere forskellige måder, men i sidste ende munder det ud i om man kender til den anvendte metode eller ej.
Hvis processoren kunne stille et virtualiseret miljø tilrådighed, som er identisk med det faktiske miljø, for antivirus programmer, ville det gøre heuristisk analyse langt nemmere.
Artiklen nævner dog ikke hvad de har tænkt sig, men det skal blive interessant at følge.
En meget anvendt metode er at pakke virusen med en eller flere ukendte pakkere. Hvilket gør at antivirus programmet ikke helt ved hvornår det skal søge efter den del af virusen som det kender.
Det er en problematik som er blevet addresseret på flere forskellige måder, men i sidste ende munder det ud i om man kender til den anvendte metode eller ej.
Hvis processoren kunne stille et virtualiseret miljø tilrådighed, som er identisk med det faktiske miljø, for antivirus programmer, ville det gøre heuristisk analyse langt nemmere.
Artiklen nævner dog ikke hvad de har tænkt sig, men det skal blive interessant at følge.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund