Aufspüren von Virtualisierungs-Rootkits

Entwickler von VMware, Xen und der Carnegie Mellon University haben sich mit Virtual Machine Based Rootkits (VMBR) auseinandergesetzt. Insbesondere haben sie untersucht, ob sich ein VMBR wirklich so verstecken kann, dass es von einem Gast-Betriebssystem nicht aufzuspüren ist. Dabei haben sie mehrere Punkte gefunden, die ein zu einem Rootkit gehörender Virtual-Machine Monitor (VMM) nicht richtig emulieren kann, worüber sich das Rootkit entdecken ließe. Unter anderem soll dies über den Vergleich realer Hardware mit virtueller Hardware möglich sein.

Tal Garfinkel, Keith Adams, et al: Compatibility is Not Transparency: VMM Detection Myths and Realities. (dab)