From 4f77c5a1ed18c369a927eae9a46fc923907dd77e Mon Sep 17 00:00:00 2001
From: "iliya.saroukha" <iliya.saroukhanian@etu.hesge.ch>
Date: Wed, 22 Jan 2025 14:43:21 +0100
Subject: [PATCH] feat: subvirt part done

---
 presentations/dry-run/dry-run.qmd | 29 ++++++++++++++++++++++++++---
 1 file changed, 26 insertions(+), 3 deletions(-)

diff --git a/presentations/dry-run/dry-run.qmd b/presentations/dry-run/dry-run.qmd
index d67d9df..7f29528 100644
--- a/presentations/dry-run/dry-run.qmd
+++ b/presentations/dry-run/dry-run.qmd
@@ -95,14 +95,37 @@ of a computer system **without being detected**"_ [^2]
 | `LD_PRELOAD` library hijacking | Syscall table _hooking_ |
 | Patching de binaire \footnotesize (e.g. `su`, `passwd`) | Injection de modules/pilotes malicieux \footnotesize(GNU/Linux, Windows) |
 
-
-[^2]: [Oxford English Dictionary, s.v. “rootkit (n.),” December 2024](https://doi.org/10.1093/OED/6892331220)
+[^2]: [Oxford English Dictionary, s.v. "rootkit (n.)," December 2024](https://doi.org/10.1093/OED/6892331220)
 
 ## Valeur offensive ajoutée par un hyperviseur
 
+::: {.incremental}
+- Point de départ $\rightarrow$ \textcolor{red}{Ring 0}, on se situe déjà au **même niveau** que
+le **noyau de l'OS**
+    - _Hijacking_ complet du système possible
+    - Bras de fer, entre les outils de détection (kernel mode) et le _malware_
+        - Invisibilité pas forcément garantie !
+- Offre une nouvelle opportunité, un **changement de paradigme**
+    - Insertion \textcolor{red}{entre} le **noyau de l'OS** et le **matériel**
+    - \textcolor{red}{Ring -1} effectif
+    - Détection plus complexe
+        - le _malware_ et l'OS \textcolor{red}{ne sont plus}
+        sur le **même pied d'égalité**
+:::
+
 # État de l'art
 
-## Subvirt
+## SubVirt
+
+- Papier publié en 2006 par des chercheurs de l'université du Michigan et de
+Microsoft[^3]
+- Concept originel du **VMBR** (_virtual-machine based rootkit_)
+- Basé sur les hyperviseurs VMWare (Linux Target) et Virtual PC (Windows Target)
+    - Manipulation de la séquence de boot pour se "glisser" en-dessous de l'OS
+        - **Réquiert un redémarrage**
+    - Chargement de l'OS natif en tant que _guest_ à l'intérieur du VMM
+
+[^3]: [SubVirt: implementing malware with virtual machines](https://ieeexplore.ieee.org/document/1624022)
 
 ## Bluepill
 
-- 
GitLab