Skip to content
Snippets Groups Projects
Verified Commit 1e9d37d6 authored by iliya.saroukha's avatar iliya.saroukha :first_quarter_moon:
Browse files

feat: fixed chap 2

parent 038ebcc3
No related branches found
No related tags found
No related merge requests found
Hide whitespace changes
Inline Side-by-side
thesis/chapters/chap2.tex
+ 5
5
View file @ 1e9d37d6
...@@ -208,14 +208,14 @@ conséquence de lancer le \textit{malware} au prochain démarrage. ...@@ -208,14 +208,14 @@ conséquence de lancer le \textit{malware} au prochain démarrage.
Le second (et le plus notoire) \textit{rootkit} tirant partie des Le second (et le plus notoire) \textit{rootkit} tirant partie des
fonctionnalités fournies par un hyperviseur est \textbf{Blue Pill}. Cette fonctionnalités fournies par un hyperviseur est \textbf{Blue Pill}. Cette
attaque fut présentée 2006 par Mme Joanna Rutkowska, une chercheuse de renom attaque fut présentée en 2006 par Mme Joanna Rutkowska, une chercheuse de renom
dans le domaine de la sécurité informatique. Dans l'article \cite{rutkowska_invisible_2006} dans le domaine de la sécurité informatique. Dans l'article \cite{rutkowska_invisible_2006}
annonçant sa création, Mme Rutkowska explicite dans les grandes lignes les annonçant sa création, Mme Rutkowska explicite dans les grandes lignes les
différences entre SubVirt et Blue Pill. Celles-ci reposent sur le fait qu'à différences entre SubVirt et Blue Pill. Celles-ci reposent sur le fait qu'à
l'inverse de SubVirt, Blue Pill ne nécessite pas de modification de la séquence l'inverse de SubVirt, Blue Pill ne nécessite pas de modification de la séquence
d'amorçage et par conséquent ne réquiert pas un redémarrage du système. Son d'amorçage et par conséquent ne réquiert pas un redémarrage du système. Son
implémentation vise à être la plus furtive possible du fait que la majorité de implémentation vise à être la plus furtive possible du fait que la majorité de
son contenu ne sera stocké sur un stockage pérenne (i.e. disque dur). son contenu ne sera stocké sur un stockage pérenne (c-à-d. disque dur).
Blue Pill est le premier \acrshort{poc} d'\acrshort{hvm} \textit{rootkit} démontré Blue Pill est le premier \acrshort{poc} d'\acrshort{hvm} \textit{rootkit} démontré
pour Windows Vista. En d'autres termes, il utilise les extensions matérielles pour Windows Vista. En d'autres termes, il utilise les extensions matérielles
...@@ -225,7 +225,7 @@ l'\acrshort{os} de l'hôte dans une \acrshort{vm}. Le principe introduit par Mme ...@@ -225,7 +225,7 @@ l'\acrshort{os} de l'hôte dans une \acrshort{vm}. Le principe introduit par Mme
Rutkowska sera de virtualiser le moins de composantes possibles, mis à part le Rutkowska sera de virtualiser le moins de composantes possibles, mis à part le
\acrshort{cpu}, ceci dans le but de ne pas impacter les performances globales \acrshort{cpu}, ceci dans le but de ne pas impacter les performances globales
du système. Le noyau de l'\acrshort{os} natif continuera à avoir accès du système. Le noyau de l'\acrshort{os} natif continuera à avoir accès
directement aux périphériques (e.g. support de stockage, carte graphique et directement aux périphériques (ex.: support de stockage, carte graphique et
réseau) amplifiant ainsi l'illusion que le système est sain et rendant la réseau) amplifiant ainsi l'illusion que le système est sain et rendant la
détection par analyse temporelle bien plus complexe. Selon son auteur, le but détection par analyse temporelle bien plus complexe. Selon son auteur, le but
principal de ce virus est de \say{simplement} intercepter des événements se principal de ce virus est de \say{simplement} intercepter des événements se
...@@ -250,14 +250,14 @@ du module \acrshort{kvm} dans le cadre d'un environnement de virtualisation ...@@ -250,14 +250,14 @@ du module \acrshort{kvm} dans le cadre d'un environnement de virtualisation
imbriquée. De nos jours, ce cas de figure est particulièrement important suite imbriquée. De nos jours, ce cas de figure est particulièrement important suite
à la croissance rapide des infrastructures \textit{cloud}. Amazon et Google, à à la croissance rapide des infrastructures \textit{cloud}. Amazon et Google, à
travers leurs services \acrshort{aws} et \acrshort{gcp} respectivement, mettent travers leurs services \acrshort{aws} et \acrshort{gcp} respectivement, mettent
à disposition des puissantes infrastructures physiques qui sont par la suite à disposition de puissantes infrastructures physiques qui sont par la suite
virtualisées de sorte à louer des parts de ressources computationnelles à des virtualisées de sorte à louer des parts de ressources computationnelles à des
particuliers ou des entreprises en fonction de leurs besoins. particuliers ou des entreprises en fonction de leurs besoins.
Le but de CloudSkulk est de s'interposer entre l'hyperviseur \say{parent} et Le but de CloudSkulk est de s'interposer entre l'hyperviseur \say{parent} et
l'invité au moyen de la virtualisation imbriquée. De ce fait, après l'insertion l'invité au moyen de la virtualisation imbriquée. De ce fait, après l'insertion
de ce \say{\textit{Rootkit in the Middle}}, celui-ci impersonnifie l'invité du de ce \say{\textit{Rootkit in the Middle}}, celui-ci impersonnifie l'invité du
point de vue de l'hyperviseur bénin ou inversement, présente en tant que point de vue de l'hyperviseur bénin ou inversement, se présente en tant que
l'hyperviseur originel auprès de la \acrshort{vm}. D'après ses auteurs, ceci rend l'hyperviseur originel auprès de la \acrshort{vm}. D'après ses auteurs, ceci rend
CloudSkulk plus furtif que ses \textit{rootkit}s \acrshort{hvm} rivaux mais CloudSkulk plus furtif que ses \textit{rootkit}s \acrshort{hvm} rivaux mais
aussi plus complexe à détecter. aussi plus complexe à détecter.
......
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Please register or to comment