N
Открытие утра, работа со временем, не подозревал что все так сложно - https://www.kernel.org/doc/Documentation/virtual/kvm/timekeeping.txt
ага. один из способов проверки на не в виртуалки ли ты был таким примерно
Size: a a a
2020 May 08
N
Не в sandox ли тебя засунули
N
В вирусах в том числе
D
В вирусах в том числе
есть крутые работы, которые даже лучше умеют по таймингах от сисколов и от команд понимать, не под гипервизором ли ты
N
есть крутые работы, которые даже лучше умеют по таймингах от сисколов и от команд понимать, не под гипервизором ли ты
да, по проверкам на L1/L2
N
На rdtsc и тд
N
хотя наверное сейчас много интересных техник
AP
есть крутые работы, которые даже лучше умеют по таймингах от сисколов и от команд понимать, не под гипервизором ли ты
вопрос зачем?
N
зачем что?
D
чтобы понимать, например, не скомпрометирована ли машина буткитом
AP
зачем на практике круто уметь понимать в каком окружении процесс находится
D
когда ты берешь тачку, а в биосе уже логгеры стоят
AP
могу ошибаться но после этапа загрузки ядра bios уже не используется
2020 May 09
l
зачем на практике круто уметь понимать в каком окружении процесс находится
Когда сдаешь экзамен на сертификацию от майкрософта/амазона/... удаленно, они требуют много всякого, от установки специального софта (который блокирует всё кроме себя) до фоток комнаты. Вот им надо, иначе слишком легко было бы считерить
A
Считерить можно всегда. Когда мы развлекались с онлайн покером, там тоже клиенты мониторили чистоту инсталла. Поэтому я придумал использовать dvi2usb 🤣 картинка парсилась, обрабатывалась снаружи, хинты выводились налету.
V
могу ошибаться но после этапа загрузки ядра bios уже не используется
ошибаешься, погугли uefi rootkit
V
для малвари понимать что ты под гипервизором сейчас практически бесполезно - слишком много ценных целей на виртуалках. а вот понимать что ты конкретно под аналитиком сидишь - такое часто встречается
A
Коллеги, интересно ваше мнение. Особенно на комменты внимание обратите. От некоторых у меня последние волосы дыбом вставали.
A
Y
Коллеги, интересно ваше мнение. Особенно на комменты внимание обратите. От некоторых у меня последние волосы дыбом вставали.
Я даже не очень понимаю в каком ключе обсуждать, отзыв с текущего места работы - это странный шаг с точки зрения релевантности