VK

Korkin Anti Rootkit for Virtual Machine Monitors (vmmkar, VK) is system of hardware-VM rootkits detection, which finds hidden VMMs using the following stealth mechanisms: cheating of timing analysis and Blue Chicken Technology.

VK can detect and calculate nested hypervisors.

More detailes in:

1. Igor Korkin "Strong approach to hardware-VM rootkits detection". Hakin9 Extra Magazine, English Edition. Issue 6/2011 (6)

ISSN 1733-7186. November 2011. paper

Korkin Anti Rootkit for Virtual Machine Monitor (vmmkar, VK) - система выявления виртуализации, обнаруживающая скрытые мониторы виртуальных машин. Средство позволяет детектировать мониторы активного противодействия исследованию, использующие для сокрытия компрометацию счётчика тактов процессора.

Разработанные способы обнаружения прошли успешное опробование.

В связи с широким распространением легитимного ПО на базе мониторов виртуальных машин, присутствие одного монитора в системе уже не может рассматриваться как возможное присутствие вредоносного ПО. Особую опасность представляет нелегальный монитор, который с помощью вложенной виртуализации использует легальный монитор для своего сокрытия. Методы обнаружения вложенной виртуализации отсутствуют.

Система выявления виртуализации позволяет обнаружить присутствие двух вложенных мониторов виртуальных машин в компьютерных системах.

На основе разработанных методов представляется возможным обнаружение более чем двух вложенных мониторов в системе.

Google Sites

Report abuse