feat: subvirt part done

presentations/dry-run/dry-run.qmd

@@ -95,14 +95,37 @@ of a computer system **without being detected**"_ [^2]
 | `LD_PRELOAD` library hijacking | Syscall table _hooking_ |
 | Patching de binaire \footnotesize (e.g. `su`, `passwd`) | Injection de modules/pilotes malicieux \footnotesize(GNU/Linux, Windows) |
 
-
-[^2]: [Oxford English Dictionary, s.v. “rootkit (n.),” December 2024](https://doi.org/10.1093/OED/6892331220)
+[^2]: [Oxford English Dictionary, s.v. "rootkit (n.)," December 2024](https://doi.org/10.1093/OED/6892331220)
 
 ## Valeur offensive ajoutée par un hyperviseur
 
+::: {.incremental}
+- Point de départ $\rightarrow$ \textcolor{red}{Ring 0}, on se situe déjà au **même niveau** que
+le **noyau de l'OS**
+    - _Hijacking_ complet du système possible
+    - Bras de fer, entre les outils de détection (kernel mode) et le _malware_
+        - Invisibilité pas forcément garantie !
+- Offre une nouvelle opportunité, un **changement de paradigme**
+    - Insertion \textcolor{red}{entre} le **noyau de l'OS** et le **matériel**
+    - \textcolor{red}{Ring -1} effectif
+    - Détection plus complexe
+        - le _malware_ et l'OS \textcolor{red}{ne sont plus}
+        sur le **même pied d'égalité**
+:::
+
 # État de l'art
 
-## Subvirt
+## SubVirt
+
+- Papier publié en 2006 par des chercheurs de l'université du Michigan et de
+Microsoft[^3]
+- Concept originel du **VMBR** (_virtual-machine based rootkit_)
+- Basé sur les hyperviseurs VMWare (Linux Target) et Virtual PC (Windows Target)
+    - Manipulation de la séquence de boot pour se "glisser" en-dessous de l'OS
+        - **Réquiert un redémarrage**
+    - Chargement de l'OS natif en tant que _guest_ à l'intérieur du VMM
+
+[^3]: [SubVirt: implementing malware with virtual machines](https://ieeexplore.ieee.org/document/1624022)
 
 ## Bluepill