- Papier publié en 2006 par des chercheurs de l'université du Michigan et de
Microsoft[^3]
- Concept originel du **VMBR** (_virtual-machine based rootkit_)
- Basé sur les hyperviseurs VMWare (Linux Target) et Virtual PC (Windows Target)
- Manipulation de la séquence de boot pour se "glisser" en-dessous de l'OS
- **Requiert un redémarrage**
- Chargement de l'OS natif en tant que _guest_ à l'intérieur du VMM
:::
[^3]: [SubVirt: implementing malware with virtual machines](https://ieeexplore.ieee.org/document/1624022)
## Blue Pill
## Background
::: {.incremental}
::: {.incremental}
- \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^4]
- \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^3]
- \small Développé par Joanna Rutkowska (Invisible Things Labs, Qubes OS)
- \small Développé par Joanna Rutkowska (Invisible Things Labs, Qubes OS)
- \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86
- \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86
- \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware based virtual machine_)
- \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware-assisted virtual machine_)
- \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM), puis
- \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM), puis
porté sur Intel VT-x
porté sur Intel VT-x
:::
:::
...
@@ -180,7 +174,41 @@ Microsoft[^3]
...
@@ -180,7 +174,41 @@ Microsoft[^3]
redémarrage du système, est simplement chargé en tant que pilote Windows (`.sys`)
redémarrage du système, est simplement chargé en tant que pilote Windows (`.sys`)
:::
:::
[^4]: [Subverting Vista™ Kernel For Fun and Profit](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2008/08/20084218/BH-US-06-Rutkowska.pdf)
<!-- # État de l'art -->
<!-- -->
<!-- ## SubVirt -->
<!-- -->
<!-- ::: {.incremental} -->
<!-- - Papier publié en 2006 par des chercheurs de l'université du Michigan et de -->
<!-- Microsoft[^3] -->
<!-- - Concept originel du **VMBR** (_virtual-machine based rootkit_) -->
<!-- - Basé sur les hyperviseurs VMWare (Linux Target) et Virtual PC (Windows Target) -->
<!-- - Manipulation de la séquence de boot pour se "glisser" en-dessous de l'OS -->
<!-- - **Requiert un redémarrage** -->
<!-- - Chargement de l'OS natif en tant que _guest_ à l'intérieur du VMM -->
<!-- ::: -->
<!-- -->
<!-- [^3]: [SubVirt: implementing malware with virtual machines](https://ieeexplore.ieee.org/document/1624022) -->
<!-- -->
<!-- ## Blue Pill -->
<!-- -->
<!-- ::: {.incremental} -->
<!-- - \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^4] -->
<!-- - \small Développé par Joanna Rutkowska (Invisible Things Labs, Qubes OS) -->
<!-- - \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86 -->
<!-- - \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware based virtual machine_) -->
<!-- - \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM), puis -->
<!-- porté sur Intel VT-x -->
<!-- ::: -->
<!-- -->
<!-- . . . -->
<!-- -->
<!-- ::: {.callout-important} -->
<!-- \scriptsize Migration de l'OS natif **à la volée**, ne requiert pas de -->
<!-- redémarrage du système, est simplement chargé en tant que pilote Windows (`.sys`) -->
<!-- ::: -->
<!-- -->
[^3]: [Subverting Vista™ Kernel For Fun and Profit](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2008/08/20084218/BH-US-06-Rutkowska.pdf)
