Przyszłość programów AV

[polak900]

dla tego skanuje się od czasu do czasu kompa np avirą w celu wywalenia nieaktywnych śmieci

[zbycho]

Nawiazując do wątku o przyszłosci AV
Duża
Przykład.

Jesli w pliku ZIP nazwa
pliku była by w postaci np:
../../../../../../../../ Program Files/jakis_program/nazwa_pliku.dll
W momencie rozpakowania (przy założeniu, że na danym dysku istnieje katalog Program Files oraz katalog jakis_program ) plik nazwa_pliku.dllzostałby rozpakowany do katalogu \ProgramFiles\jakis_program\, a nie jak by oczekiwano,do katalogu wskazanego przez niego

Co to oznacza.
Ano to tylko ze zainfekowane archiwum rozpakuje się tam gdzie mu kazano poza jednym plikiem, nazwa_pliku.dll ,który poleci do \ProgramFiles\jakis_program\.
A program ten moze być "zaufany" (bez dygresji)
I w momencie uruchomienia aplikacji w \jakis_program\uruchomi się szit nazwa_pliku.dll
Czy mozna sie przed tym w stu procentach zabezpieczyc?Nie.Nie mozna.Ale bardzo pomocny jest w tym AV
P.S.
Systemowo tej nazwy sie nie wstawi,wyłacznie programowo z uzyciem stringu i przerwania.

[czullo]

dla tego skanuje się od czasu do czasu kompa np avirą w celu wywalenia nieaktywnych śmieci

ciesze się ze w końcu doszliśmy do tego, ze tak czy siak av trzeba zainstalować i przeskanować. Wiec po co unikać rzeczy nieuniknionych

[Jurek]

Czy mozna sie przed tym w stu procentach zabezpieczyc?Nie.Nie mozna.Ale bardzo pomocny jest w tym AV

Jak napisał kiedyś Creer, stuprocentowe zabezpieczenie zapewnia jedynie sprzętowa wirtualizacja.

Wyjątkowe bezpieczeństwo jest domeną wirtualnych systemów, najlepszych programów do wirtualizacji dysków, hipsów z piaskownicą i piaskownic. Również najwyższej klasy monitory systemu czyli klasyczne hipsy (np. Program Guard OA), właściwie stosowane, znakomicie umożliwiają zablokowanie infekcji.
AV może być pomocny, tylko wtedy gdy wykrywa a że nie wykrywa bardzo często nie jest więc zbyt pomocny.

Aby wypowiadać się na temat pewnych rozwiązań jak np. DefenseWall, trzeba przez pewien czas go używać i to najlepiej w ekstremalnych warunkach. Samo teoretyzowanie niczego Ci nie wyjaśni. Trzeba się osobiście przekonać i zobaczyć jak to działa.

[zbycho]

Jak napisał kiedyś Creer, stuprocentowe zabezpieczenie zapewnia jedynie sprzętowa wirtualizacja.

Kolejna bajka wynikajaca z niezrozumienia na czym owa sprzętowa wirtualizacja polega.

Chociaż coraz więcej mówi się o sprzętowym wsparciu dla wirtualizacji, rzadko wyjaśnia się, co tak naprawdę oznaczają terminy AMD-V oraz Intel VT. Te dwie technologie wspierające rozwiązania wirtualizacyjne są względem siebie konkurencyjne, chociaż bardzo podobne. Dzięki nim część zadań związanych z obsługą wirtualnego środowiska wykonywanych jest bezpośrednio przez procesor, ale pod warunkiem, że oprogramowanie do wirtualizacji jest przygotowane do wykorzystania tych technologii.

Zadaniem AMD-V i Intel VT jest poprawa wydajności, co odbywa się poprzez zmniejszenie narzutu warstwy wirtualizacji. Procesor przejmuje zadania wykonywane dotychczas programowo przez monitor wirtualnych maszyn lub hipervisor, usprawniając tłumaczenie instrukcji czy adresów pamięci. To z kolei pozwala na tworzenie wirtualnych środowisk obsługujących większą liczbę użytkowników czy wymagające większej wydajności aplikacje.

Mity
Powszechnie funkcjonuje kilka błędnych wyobrażeń związanych ze sprzętową wirtualizacją, na przykład AMD-V i Intel VT są utożsamiane z kompletnym rozwiązaniem do wirtualizacji, które pozwala uruchamiać wirtualne maszyny z system operacyjnym. Takie rozwiązania mają szansę pojawić się w przyszłości, ale będą przeznaczone raczej do wirtualizacji komputerów biurkowych. Użytkownik będzie mógł przełączać się między wirtualnymi maszynami z wykorzystaniem kombinacji klawiszy lub przełącznika na obudowie komputera. Należy podkreślić, że niezależnie od sposobu wirtualizacji nadal będzie potrzebne oprogramowanie, które umożliwi tworzenie i zarządzanie wirtualnymi maszynami.

Kolejne błędne przekonanie dotyczy wzrostu wydajności - wirtualizacja sprzętowa pozwala jakoby uruchomić kilka wirtualnych maszyn, a każda z nich ma pracować z pełną częstotliwością procesora. Takich magicznych rozwiązań jeszcze nie ma. Wirtualne maszyny uruchomione na komputerze z wbudowanymi funkcjami sprzętowego wsparcia wirtualizacji nadal współdzielą zasoby, w tym czas procesora. Natomiast różne programy do wirtualizacji oferują szereg metod przydzielania pul zasobów czy ustalania priorytetów dostępu. Rozwiązaniem problemu jest wielordzeniowość procesorów. Wtedy wirtualne maszyny mogą korzystać z dedykowanych rdzeni. Nie ma to jednak nic wspólnego ze sprzętowym wsparciem wirtualizacji.

Mitem jest też twierdzenie, że każde oprogramowanie do wirtualizacji może wykorzystywać technologie AMD-V i Intel VT. Funkcje sprzętowej wirtualizacji będą działać tylko w tandemie z odpowiednio przygotowanym oprogramowaniem. Ponieważ wszystkie najnowsze procesory Intela i AMD są wyposażone w funkcje sprzętowej wirtualizacji, tylko od producentów oprogramowania zależy, czy będą wykorzystane. Najnowsze wersje produktów VMware''a są przygotowane do wykorzystania AMD-V oraz Intel VT, ale można je instalować również na starszych procesorach bez tych technologii. Z kolei Hyper-V zadziała tylko ze sprzętowym wsparciem wirtualizacji. Jeszcze inne podejście prezentuje Sun – świadomie nie implementuje wsparcia dla tych technologii, żeby zapewnić elastyczność swojego rozwiązania.

Technologia AMD-V
Jest to zbiór rozszerzeń wspierających wirtualizację i wbudowanych w 64-bitowe procesory firmy AMD: Opterony drugiej i trzeciej generacji, Athlony 64 i 64 X2 z rodzin F i G, Turiony 64 X2 oraz we wszystkie najnowsze modele. AMD-V wykonuje kilka zadań należących tradycyjnie do monitora maszyn wirtualnych. Zwiększa to wydajność i pozwala uprościć VMM (Virtual Machine Monitor).

Rozszerzenie Rapid Virtualization Indexing (znane wcześniej jako Nested Paging) przejmuje zadanie przechowywania tablic stron i tłumaczenia adresów pamięci wirtualnej na adresy pamięci fizycznej. Bez sprzętowego wsparcia wirtualizacji dla każdej wirtualnej maszyny tworzone są tzw. Shadow Page Tables przechowywane w pamięci RAM lub na dysku. Za translację odpowiada monitor maszyn wirtualnych.

Rapid Virtualization Indexing zagnieżdża tabele stron wszystkich wirtualnych maszyn w tabeli stron hosta. To pozwala przenieść tabelę stron hosta wraz z zagnieżdżonymi tabelami wirtualnych maszyn do bufora TLB (Translation Lookaside Buffer) w procesorze, co z kolei umożliwia sprzętową translację adresów.

Inne rozszerzenie, Device Exclusion Vector, poprawia bezpieczeństwo. Kontroluje dostęp do pamięci zarezerwowanej dla maszyn wirtualnych. AMD-V wprowadza też kilka nowych instrukcji: VMRUN, VMEXIT, VMLOAD, VMSAVE oraz VMCALL.

Zadania uruchamiane w systemie operacyjnym mają własne tabele stron przechowujące mapowania pamięci wirtualnej na pamięć fizyczną. Tabele te są przechowywane w buforze TLB procesora. Aby poprawić wydajność, każde zadanie otrzymuje swój identyfikator. To pozwala przechowywać w TLB wpisy różnych zadań (bez tego identyfikatora zawartość bufora TLB musiałaby być ponownie zapisywana nowymi mapowaniami podczas każdego przełączania między zadaniami).

Rozwiązanie to sprawdzało się dopóki nie pojawiły się wirtualne maszyny. System operacyjny działający w wirtualnej maszynie nie wie o działaniu pozostałych systemów i przydziela zadaniom tylko identyfikator zadania. To z kolei powoduje, że podczas przełączania między wirtualnymi maszynami bufor TLB musi być zapełniany nowymi danymi.

Technologia Tagged TLB wprowadza nowy identyfikator ASID (Address Space Identifier), który pozwala przypisać zadanie do właściwej wirtualnej maszyny i uniknąć zapełniania (ang. flush) bufora TLB nowymi danymi podczas przełączania między wirtualnymi maszynami.

Intel VT
W tym przypadku również mamy do czynienia ze zbiorem różnych technologii, których zadaniem jest przejęcie przez procesor części zadań wykonywanych programowo przez monitor maszyn wirtualnych.

Procesory umożliwiają wykonywanie instrukcji z różnym poziomem uprzywilejowania. Standardowo system operacyjny działa z najwyższym stopniem uprzywilejowania, tzw. ring 0, który daje bezpośredni dostęp do sprzętu. Jednak, aby uniknąć konfliktów między wirtualnymi maszynami, VMM przechwytuje wszystkie instrukcje w ringu 0 i obniża ich priorytet do ringu 1, co wymaga intensywnych obliczeń. W procesorach z technologią Intel VT pojawia się nowy poziom uprzywilejowania VMX root, z którego korzysta monitor maszyn wirtualnych. Dzięki temu systemy operacyjne w wirtualnych maszynach mogą pracować w ringu 0, co pozwala im bezpośrednio odwoływać się do procesora.

Intel VT FlexPriority pozwala na szybszą obsługę przerwań w przypadku 32-bitowych wirtualnych maszyn. Eliminuje konieczność przechwytywania przez VMM prób dostępu do Task Priority Register przez wirtualne maszyny. Pozwala także na efektywniejsze wykorzystanie technologii SMP (Symmetric Multiprocessing). Według danych Intela rozwiązanie to zwiększa o 35% wydajność wirtualnych maszyny i o 40% skraca czas ich uruchamiania.

VT Virtual Processor ID to odpowiednik technologii Tagged TLB opracowanej przez AMD. Dzięki temu identyfikatorowi procesor może całkowicie przejąć zadanie translacji adresów pamięci fizycznej na pamięć wirtualną. Procesor potrafi różnić, do której maszyny wirtualnej należą dane.

Z kolei Intel VT Extended Page Tables optymalizuje działanie pamięci wirtualnej. Umożliwia gościnnemu systemowi operacyjnemu modyfikowanie jego tablic stron. Redukuje konieczność korzystania z Shadow Page Tables, co pozwala na zmniejszenie zużycia pamięci.

Ostatnia z technologii, Intel VT FlexMigration, nie wpływa na wydajność działania wirtualnych maszyn. Jej zadaniem jest ułatwanie wprowadzania do wirtualnej puli zasobów nowych procesorów wykonanych w technologii 45 nanometrów.

A w skrócie?
Bez aplikacji której kod odwołuje sie do owych funkcji procesora,cała sprzetowa virtualizacja jest tylko pustym słowem.
A co do bezpieczeństwa,to BluePill czy SubVirt temu przeczą.Sa nie do zdarcia ze względu na przydzielone przywileje.

[Creer]

Zycho, znow skucha, nie napisalem tego bo to chyba oczywiste, przynajmniej dla wiekszosci, ze aby moc korzystac w pelni z wirtualizacji sprzetowej wymagane jest przeznaczone do tego oprogramowanie. Znow sie czepiasz i szukasz dziury w calym. Nie bede specjalnie dla Ciebie pisal tak abys Ty mogl to zrozumiec, nie napisalem tez ze do wirtualizacji sprzetowej potrzebny jest stacja robocza - komputer, skladajacy sie m.in. z procesora, mobo, pamieci, hdd, etc... - to dla Ciebie specjalna notka, mam nadzieje ze teraz zrozumiesz.
Nie zachowuj sie jak dziecko, to nie forum onetu i przestan w koncu trollowac, bo Twoje posty na tym forum, nic konstruktywnego nie wnosza.
Rowniez, ku pamieci - jesli cos sie cytuje, w dobrym tonie jest umieszczenie pod tym zrodla, skad zostalo skopiowane. (regulamin tez to uwzglednia:

[Aby zobaczyć linki, zarejestruj się tutaj]

)

Apropos Blue-Pill czy SubVirt, zanim cos napiszesz, sprawdz, upewnij sie, jeszcze raz przeczytaj.
Tak sie sklada ze SubVirt nie moze zostac zainstalowany bez reboot''u maszyny, oraz musi on wprowadzic kilka istotnych modyfikacji na dysku twardym. SubVirt ponadto zostal zaimplementowany/wdrozony w architekturze x86, ktora nie pozwala na osiagniecie 100% wirtualizacji hardware''owej - i to jest fakt nie do zbicia.. Blue-Pill natomiast budzi sie do zycia w kontrolerze Matrix. Wszystko to w przypadku Blue-Pill dzieje sie bez restartu, jednakze nadal dotyczy to architektury x84, ktora jak napisalem wczesniej nie jest idealna platforma do sprzetowej wirtualizacji.
Co prawda istnieje wersja na platforme x64 jednakze jest ona wersja prototypowa, w trakcie rozwoju. Bezpieczenstwo nie jest tematem stalym, ciagle ulega zmianom i przemianom, to co bylo 100% ochrona dzis, jutro moze byc bezuzyteczne, najwazniejsze to, zrozumiec ten fakt i starac sie byc na biezaco w okreslonych kwestiach/dziedzinach.

zrodla:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Z mojej strony to tyle, same fakty, pozostale posty zapewne stanowic beda Twoje slowne przepychanki, na ktore nie mam ochoty i czasu odpisywac.

[Jurek]

A w skrócie?
Bez aplikacji której kod odwołuje sie do owych funkcji procesora,cała sprzetowa virtualizacja jest tylko pustym słowem.
A co do bezpieczeństwa,to BluePill czy SubVirt temu przeczą.Sa nie do zdarcia ze względu na przydzielone przywileje.

To oczywista oczywistość, że sprzęt bez aplikacji nie działa a jeżeli chodzi o paranoiczne spojrzenie nabezpieczeństwo, to można przypuszczać, że kometa uderzy w twojego kompa i nic cię nie ochroni

[zbycho]

To oczywista oczywistość, że sprzęt bez aplikacji nie działa

Nigdzie tego nie napisałem.
Pisałem o wirtualizacji sprzetowej a to technologia a nie sprzet(inna warstwa pojęć) i napisałem ze zeby to działalo to aplikacja musi sie do tej technologi odwoływać.Ale obowiazku nie ma i aplikacja i bez tego zadziała.
To jest rzecz pomocna dla programistów,poniewaz moga uprościć kod virtuala który tworzą a jednocześnie wymagane operacje będa potrzebowały mniej cykli.

[polak900]

dla tego skanuje się od czasu do czasu kompa np avirą w celu wywalenia nieaktywnych śmieci

ciesze się ze w końcu doszliśmy do tego, ze tak czy siak av trzeba zainstalować i przeskanować. Wiec po co unikać rzeczy nieuniknionych

czullo jakbyś trochę się postarał to byś wiedział że od początku naszych rozważań nigdy nie napisaliśmy że av nie jest potrzebny. nawet creer napisał że skanuje dr web cure it
raz na jakiś czas kompa.
więc nie wiem co cię ta śmieszy że odkryłeś to co ja już dawno wyczytałem
ale tak to jest jak się nie czyta tylko bawi się w mądrale na forum.

[Jurek]

czullo jakbyś trochę się postarał to byś wiedział że od początku naszych rozważań nigdy nie napisaliśmy że av nie jest potrzebny. nawet creer napisał że skanuje dr web cure it
raz na jakiś czas kompa.

AV nie koniecznie jest potrzebny ale skaner antywirusowy na żądanie jak najbardziej.
Ja używam ESET Online Scanner i MBAM.

[polak900]

ja jurek z av zrobiłem skaner na żądanie pisałem jak już kilka razy