Skip to content
Snippets Groups Projects
Commit d16e377f authored by iliya.saroukha's avatar iliya.saroukha :first_quarter_moon:
Browse files

fix: little adjustment

parent b8338b3c
No related branches found
No related tags found
No related merge requests found
Hide whitespace changes
Inline Side-by-side
presentations/dry-run/dry-run.qmd
+ 7
5
View file @ d16e377f
...@@ -94,7 +94,7 @@ of a computer system **without being detected**"_ [^2] ...@@ -94,7 +94,7 @@ of a computer system **without being detected**"_ [^2]
[^2]: [Oxford English Dictionary, s.v. "rootkit (n.)," December 2024](https://doi.org/10.1093/OED/6892331220) [^2]: [Oxford English Dictionary, s.v. "rootkit (n.)," December 2024](https://doi.org/10.1093/OED/6892331220)
## Valeur offensive ajoutée par un hyperviseur ## Valeur "offensive" ajoutée par un hyperviseur
::: {.incremental} ::: {.incremental}
- Point de départ $\rightarrow$ \textcolor{red}{Ring 0}, on se situe déjà au **même niveau** que - Point de départ $\rightarrow$ \textcolor{red}{Ring 0}, on se situe déjà au **même niveau** que
...@@ -130,7 +130,7 @@ Microsoft[^3] ...@@ -130,7 +130,7 @@ Microsoft[^3]
::: {.incremental} ::: {.incremental}
- \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^4] - \small 1ère démonstration lors du _Black Hat Briefings_ du 3 août 2006[^4]
- \small Développé par Mme Joanna Rutkowska (Invisible Things Labs, Qubes OS) - \small Développé par Joanna Rutkowska (Invisible Things Labs, Qubes OS)
- \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86 - \small VMBR utilisant les **instructions matérielles** exposées par les CPUs x86
- \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware based virtual machine_) - \small \textbf{Premier exemple} d'un rootkit \textbf{HVM} (_hardware based virtual machine_)
- \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM), puis - \footnotesize Basé initialement sur la technologie AMD-V (Pacifica, _aka_ SVM), puis
...@@ -139,7 +139,7 @@ Microsoft[^3] ...@@ -139,7 +139,7 @@ Microsoft[^3]
. . . . . .
::: {.callout-warning} ::: {.callout-important}
\scriptsize Migration de l'OS natif **à la volée**, ne requiert pas de \scriptsize Migration de l'OS natif **à la volée**, ne requiert pas de
redémarrage du système, est simplement chargé en tant que pilote Windows (`.sys`) redémarrage du système, est simplement chargé en tant que pilote Windows (`.sys`)
::: :::
...@@ -154,7 +154,7 @@ redémarrage du système, est simplement chargé en tant que pilote Windows (`.s ...@@ -154,7 +154,7 @@ redémarrage du système, est simplement chargé en tant que pilote Windows (`.s
- Concerne l'architecture x86 pour Intel VT-x - Concerne l'architecture x86 pour Intel VT-x
- Détection du CPU et de ses capacités pour la virtualisation (_support for VMX_) - Détection du CPU et de ses capacités pour la virtualisation (_support for VMX_)
- Appel à `cpuid` avec `eax = 1` (bit 5 _set_ de `ecx`) - Appel à `cpuid` avec `eax = 1` (bit 5 _set_ de `ecx`)
- Vérification du _"feature control"_ MSR (_"model specific registers"_) pour - Vérification du _"feature control"_ MSR (_"model specific register"_) pour
déterminer si la virtualisation n'a pas été désactivée depuis le BIOS. déterminer si la virtualisation n'a pas été désactivée depuis le BIOS.
- Initialisation de la région **VMXON** associée à une future VM - Initialisation de la région **VMXON** associée à une future VM
- Vérification des valeurs dans les registres de contrôle **CR0** et **CR4** - Vérification des valeurs dans les registres de contrôle **CR0** et **CR4**
...@@ -175,7 +175,7 @@ région allouée et initialisée ...@@ -175,7 +175,7 @@ région allouée et initialisée
# Méthodes de détection # Méthodes de détection
## _Timing analysis_ ## Analyse temporelle
::: {.incremental} ::: {.incremental}
- Construire un ensemble d'opérations nécessitant des `VMExit` - Construire un ensemble d'opérations nécessitant des `VMExit`
...@@ -204,3 +204,5 @@ région allouée et initialisée ...@@ -204,3 +204,5 @@ région allouée et initialisée
- Analyse temporelle - Analyse temporelle
- Détection de virtualisation - Détection de virtualisation
::: :::
# Questions ?
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Please register or to comment