16.07.2008

Sanal makina rootkit'leri (VM rootkits)

Kullandığımız bilgisayarlar üzerine anti-virüs yazılımları kurup, güvenlik yazılımlarıyla erişimlerini kısıtlıyoruz. Amaç: istenmeyen zararlı yazılımlardan korunmak, bulaşanları tespit edip temizlemek. Peki ya bulaşan yazılım tespit edilemiyorsa? Rootkit olarak adlandırılan yazılımlar kendilerini işletim sisteminin erişiminden saklayarak varlıklarını devam ettirebiliyorlar. Piyasada elbette rootkitlerin varklıklarını tarayacak programlar da var. Bu bir saklambaç oyunu. Bir taraf gizlenmeye çalışıyor, diğeri onu bulmaya.

Ancak son zamanlarda mikroişlemci üreticilerinin sanallaştırma teknolojilerine verdiği destekle bu tip rootkit'lerin ekmeğine yağ sürüldü. Intel'in işlemcilerin VT-x, AMD işlemcilerin ise AMD-V özellikleri, BluePill adlı kötü amaçlı yazılım tarafından suistimal ediliyor. Kendini bir sanal makina olarak gösteren BluePill, işletim sisteminin bakış açısından görünmez olabiliyor. Bulaştığı bilgisayarın hakimiyetini ele geçiren bu kötü amaçlı yazılım, en korkulu rüyamız olarak karşımıza çıkıyor.

Hiç yorum yok: