Kilka tygodni temu pisałem o tym, jak kilku speców od bezpieczeństwa poddało
w wątpliwość, że Blue Pill, którego autorem jest Joanna Rutkowska, jest niewykrywalny. Rzucili oni wyzwanie programistce, która zgodziła się udowodnić swoje racje; są już świeże informacje w tej sprawie.
Joann wraz z Alexandrem Tereshkin’em przepisali od podstaw kod rootkit’a dodając do aplikacji nowe funkcjonalności, aczkolwiek filozofia ukrycia robaka wykorzystuje również wirtualizacje zaimplementowane w nowoczesnych procesorach. Według opisu znaczy, że rootkit mógłby zostać załadowany do Windows podczas pracy, bez restartu i najmniejszej wiedzy użytkownika oraz pozostać nie wykryty za pomocą znanych dotychczas metod. Póki co rootkit można użyć w wirtualizacjach implementowanych w procesory AMD SVM/Pacifica – o procesorach Intela narazie nic nie słychać.
Nowe funkcje w Blue Pill to głównie mechanizmy, których zadaniem jest utrudnienie wykrycia przez różnego rodzaju detektory i skanery. Blue Pill posiada jeszcze sporo niedopracowań, między innymi podczas uruchamiania na Microsoft Virtual PC 2007 następuje crash aplikacji.
Trzymamy kciuki za naszą specjalistkę, żeby projekt jak najszybciej został zakończony pełnym sukcesem…
