Жук в ноутбуках?

Т.е. алгоритм обнаружения гипервизора такой: посылаем UDP пакет на сервер, вызываем rdmsr стотыщмильёнов раз, посылаем второй UDP пакет на сервер. Сервер меряет разницу времени прихода пакетов, пересчитывает производительность rdmsr относительно частоты процессора исследуемой системы, и делает вывод о наличии/отсутствии гипервизора.
Тоже самое можно сделать локально, с помощью оператора с секундомером в руках.

Вот бы руки у кого дошли отписать такой софт....

Похоже я только, судя по описанной симптоматике, поймал бируса через VirtualBox 3 от Sun: первые два раза после попытки запустить винду под ней (записанную на виртуальный диск под virtualnbox-ose 1.6, правда, может в этом дело?) – "зависала" и виртуалка, и физическая машина (под линуксом), пришлось пару раз выключать через выключение питания, некорректно.
А в третий раз ваще сама выключилась (физ. машина) и перегрузилась...
Что же мне теперь делать, о ужос?!

Есть ли программные средства детектирования(блокирования) таких штучек?

Люди, не надо опять фантазировать. Какие UDP-пакеты? Не проще ли сделать так, как делали наши деды: взять правильный BIOS, загрузиться с него, взять CD с правильной ОС, загрузиться с него. Зачем вам вообще обнаруживать вирусы, вы в лаборатории Касперского работаете?

Есть косвенные способы обнаружения конкретных действий

В режиме SMM не надо ничего перехватывать, его и так не видно. :) Да, таймер останавливается, но чем меньше этот простой, тем труднее его обнаружить.

Производительность ведь зависит не только от частоты процессора, но также от характеристик памяти и её контроллера, а также и многих других микросхем в компьютере. Трудно будет заранее вычислить эталонные характеристики разнообразных их сочетаний, особенно учитывая асинхронные варианты. Нестабильность задержек передаваемых по сети UDP пакетов окончательно сведут усилия в этом направлении на нет. А если для проверки времени на месте нужно будет специальное высокоточное оборудование, уж тогда лучше обычный программатор.

И речь ведь идёт не об обнаружении гипервизора, а об обнаружени модификации поведения БИОСА. Причём отличие времени от эталонного поведения может быть как угодно мало, например несколько дополнительных команд для выявления "ключевой ситуации" (и, например, установление системных привилегий создавшему такую ситуацию). И даже вообще 0, если удастся оптимизировать по времени исходный вариант.

Более того,

наличие "универсального" алгоритма внедрения в BIOS это не предположение, а реальность
процедура внедрения была автоматизирована: считывание, распаковка BIOS+SMM, внедрение BIOS+SMM, упаковка, прошивка.

То есть вся эта нетривиальная проверка биоса должна проводится регулярно.

Я таких терминов не знаю и знать не хочу

Это термины Джоанны Рутковской со товарищами (нашедших более 40 уязвимостей в обработчике SMM). Они (термины) как-бы намекают на то, что есть более высокоприоритетные режимы, чем ring 0.

взять правильный BIOS, загрузиться с него, взять CD с правильной ОС, загрузиться с него.

Для убеждённых параноиков лучший вариант – комплекс для проверки и восстановления компа, включающий в себя: аппаратный (для наверняка – самодельный) программатор + комп на ЛЮБОМ чипсете с процом 386DX (обычный DX без SMM, а не Am386DXLV какой-нибудь) с (проверенным) биосом в однократке + эталонный чистый образ биоса для основного компа...

(Цитаты по ссылке выше )

В режиме SMM не надо ничего перехватывать, его и так не видно

Ровно до тех пор, пока нам не понадобится сделать оттуда осмысленное действие, например перехватить какое-либо прерывание. Правда дело осложняется тем, что SMM любят использовать в ноутбуках для управления питанием и для эмуляции legacy устройств, но это всё можно вырезать пропатчив BIOS.

Производительность ведь зависит не только от частоты процессора, но также от характеристик памяти и её контроллера, а также и многих других микросхем в компьютере.

Производительность конкретных команд (rdmsr/wrmsr) зависит от частоты и модели процессора, и ни от чего более, они к памяти не обращаются и с внешними устройствами не работают. И разница в их производительности под гипервизором и без него будет на порядки, перепутать трудно.

Нестабильность задержек передаваемых по сети UDP пакетов окончательно сведут усилия в этом направлении на нет

Какого порядка эта нестабильность? Секундная точность – хорошо. У вас пинг больше секунды – тогда увеличим время теста, и нам хватит внешнего таймера с любой точностью. С каждой новой итерацией теста вносимые гипервизором задержки накапливаются, а требования к точности измерения понижаются.

Это термины Джоанны Рутковской со товарищами

Всё, дальше можно не читать. Рутковская с сотоварищами мне по барабану, и знать их термины я не должен.

Нестабильность задержек передаваемых по сети UDP пакетов

Протокол NTP даёт точность до 10 миллисекунд.

алгоритм обнаружения гипервизора такой: посылаем UDP пакет на сервер, вызываем rdmsr стотыщмильёнов раз, посылаем второй UDP пакет на сервер. Сервер меряет разницу времени прихода пакетов

Трудно будет заранее вычислить эталонные характеристики разнообразных их сочетаний, особенно учитывая асинхронные варианты

Возможно, имеет смысл создавать в интернете базу "профилей задержек", в которую можно было бы внести профиль своего компьютера после покупки и затем периодически сравнивать в прцессе эксплуатации.

Теоретически гипервизор может подделывать NTP пакеты перехватывая прерывание сетевой карты. ИМХО для надежности нужен протокол с аутентификацией. И ещё гипервизор может пропатчить код антируткита таким образом, чтобы он выводил отрицательный результат независимо от результата измерений. Тут, к сожалению, поможет лишь засекречивание кода антируткита и его ограниченное распространение.

И разница в их производительности под гипервизором и без него будет на порядки, перепутать трудно

Ну что вы к гипервизору привязались,

речь ведь идёт не об обнаружении гипервизора, а об обнаружени модификации поведения БИОСА

Ровно до тех пор, пока нам не понадобится сделать оттуда осмысленное действие

Чтение скан-кодов нажатых клавиш из контроллера клавиатуры – осмысленное действие? Много времени займёт? Много следов оставит? А долгие и заментые осмысленные действия не надо производить всё время, а лишь при соблюдении условий, проверка которых коротка и незаметна.

Всё, дальше можно не читать. Рутковская с сотоварищами мне по барабану

Почему вы с ней так сурово?

знать их термины я не должен

Кто/что определяет ваш долг? Разве не вы сами? Но почему вы думаете, что и другие должны то же, что и вы?

http://en.wikipedia.org/wiki/System_Management_Mode
http://www.gmer.net/ тулза антируткит

DDRTL а этот антируткит BIOSовские вирусы обнаружит?!
А что-нибудь подобное для Linux есть?

http://www.antirootkit.com/software/index.htm
http://rootkits.su/app/

google:anti+rootkit+bios

Внимание! Иногда под видом антивирусов распространяют вирусы!

К сожалению нет, но от прочих да...
http://www.rom.by/article/Birus-y_Chast_pervaja

Ну что вы к гипервизору привязались,

Да так, к слову пришлось.

Чтение скан-кодов нажатых клавиш из контроллера клавиатуры – осмысленное действие? Много времени займёт? Много следов оставит? А долгие и заментые осмысленные действия не надо производить всё время, а лишь при соблюдении условий, проверка которых коротка и незаметна.

Да, SMM кейлоггер выйдет вполне незаметным, и в принципе он может записывать данные в флеш. А вот незаметно отправить по сети уже не выйдет. Впрочем, как уже было ранее сказано, мучает паранойя – юзайте программатор. Не хватает денег купить – соберите.

Почему вы с ней так сурово?

Да немного напрягает поднятый ей шум насчет её "необнаружимого" BluePill, большую часть кода которого не она писала, и который необнаружим только в строгих рамках поставленных ею же условий.