- Papier publié en 2006 par des chercheurs de l'université du Michigan et de
Microsoft[^3]
- Concept originel du **VMBR** (_virtual-machine based rootkit_)
...
...
@@ -124,10 +125,29 @@ Microsoft[^3]
- Manipulation de la séquence de boot pour se "glisser" en-dessous de l'OS
- **Réquiert un redémarrage**
- Chargement de l'OS natif en tant que _guest_ à l'intérieur du VMM
:::
[^3]: [SubVirt: implementing malware with virtual machines](https://ieeexplore.ieee.org/document/1624022)
## Bluepill
## Blue Pill
::: {.incremental}
- \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^4]
- \small Développé par Mme Joanna Rutkowska (Invisible Things Labs, Qubes OS)
- \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86
- \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware based virtual machine_)
- \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM) puis
porté sur Intel VT-x
:::
. . .
::: {.callout-warning}
\scriptsize Migration de l'OS natif **à la volée**, ne réquiert pas de démarrage du système.
Est simplement chargé en tant que pilote Windows (`.sys`)
:::
[^4]: [Subverting Vista™ Kernel For Fun and Profit](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2008/08/20084218/BH-US-06-Rutkowska.pdf)
