VMware объявила о том, что планирует лучше защитить свою продукцию от вредоносных программ. С этой целью защитному ПО сторонних производителей будет обеспечен доступ к ключевым частям виртуализированной среды.

VMsafe - название технологии, которую вендоры безопасности смогут использовать для интеграции своих продуктов в среды VMware. McAfee, Symantec, а также 18 других компаний, уже взялись за создание продуктов, которые будут работать со спецификациями VMware.

VMware объявила о своей цели сразу после того, как в ее продукте виртуализации исследователи ИБ обнаружили серьезную ошибку, позволяющую атакующему получить полный контроль над ПК жертвы.

В сущности, VMsafe предоставляет возможность программам безопасности наблюдать за памятью, процессором, диском и системой ввода-вывода виртуальной машины. Как сообщает The Register, это необходимо, чтобы программы смогли обнаружить и блокировать опасный код.

О сроках создания сторонних приложений для защиты виртуальной среды пока ничего не говорится.

| Сообщение посчитали полезным:

Gideon Vi пишет:
уже взялись за создание продуктов, которые будут работать со спецификациями VMware.
а кто мешает реверсить эти продукты и получить такие-же привелегии... и нах вобще все это надо, не понятно..

| Сообщение посчитали полезным:

Gideon Vi, а баг это не тот ли который МыщьХ описывал в стотье "Побег из ВМвари"? Или уже новый баг?

-----
Researcher

| Сообщение посчитали полезным:

В статье Побег из вари была описана какая-то байда, типа вот в этом месте, вроде как идёт не совсем хорошая адресация, что в теории может позволить как-то заюзать, больше там ничо дельного не было. Тут похоже на какой-то более-менее реальный косяк. Относительно недавно проскакивал косяк с расшареными папками, мона было полный контроль на хостовой файловой системой получить, вроде. Нах антивирь нужен внешний-хз, только ещё дыр понаделают, бракоделы...
З.Ы. Топик оффтоповый, но лан, пусть пока повисит тут

| Сообщение посчитали полезным:

Может нужно
http_//www.nynaeve.net/?page_id=168

| Сообщение посчитали полезным:

overwriter пишет:
Или уже новый баг?

что-то новое, появившееся в шестой версии.

Archer пишет:
З.Ы. Топик оффтоповый, но лан, пусть пока повисит тут

Я сам разрывался между офтопиком и главным, но решил сюда, так как темы из офтопа на главной странице не появляются

| Сообщение посчитали полезным:

уж лучше бы они настройки персонализации сделали в vmware

| Сообщение посчитали полезным:

Gideon Vi пишет:
что-то новое, появившееся в шестой версии.

А в какой именно версии ?

| Сообщение посчитали полезным:

Думаю появится еще один метод детекта виртуалки тока уже документированый.

| Сообщение посчитали полезным:

Скорее всего они впихнут проактивную защиту и евристику. Было бы не плохо добавить CRC проверку в антивирь ато прикольно будет если вирус инфицирует антивирус.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

fire4x пишет:
А в какой именно версии ?

не знаю, я пропустил этот момент, так как неактуально - вири не реверсю

Loco пишет:
Скорее всего они впихнут проактивную защиту и евристику. Было бы не плохо добавить CRC проверку в антивирь ато прикольно будет если вирус инфицирует антивирус.

И де вас только таких делают. В шапке написано: открывается прямой доступ к варе для определённых приложений.

SWR пишет:
Думаю появится еще один метод детекта виртуалки тока уже документированый.

100%. Варя для реверса умирает

| Сообщение посчитали полезным:

Gideon Vi пишет:
100%. Варя для реверса умирает
Почему умирает? Просто становится другим PC со своими закидонами... Появятся patches для самой vmware и обёртки для прог что б скрыть... Всё равно ж удобнож иметь snapshots.

| Сообщение посчитали полезным:

s0larian пишет:
Почему умирает?

Потому, что есть рабочие конкуренты, у которых таких закидонов нет. "не можем сделать качественный продукт... а давайте дадим возможность другим доделать нашу работу!" - ну куда это годится? Ладно майкрософт себе такое позволяет, но варя... имха, не доросли ещё.

| Сообщение посчитали полезным:

s0larian пишет:
Появятся patches для самой vmware

Ой, не знаю. Сколько уже глюков в варе, а на паблике пробегал один патч в сорцах, глючный и без развития.

s0larian пишет:
обёртки для прог что б скрыть...

Тут проблема в том, что появится интерфейс, при наличии которого можно будет точно утверждать, что софт запущен под варей. Делать "обёртку"... сейчас-то vpc производительностью не блещут, а что будет творится под таким бутербродом

| Сообщение посчитали полезным:

Gideon Vi пишет:
Тут проблема в том, что появится интерфейс, при наличии которого можно будет точно утверждать, что софт запущен под варей.
ЭЭээ так такой интерфейс уже есть - VmWare tools Его можно не инсталить, но тогда просто труба с производительностью. Их самый главный (по качеству и прибыли) продукт это ESX сервер - там host OS это VmWare ESX, не windows. Производительность - супер, по поводу детекта - не знаю. Я думаю что на железе с новыми hypervisor инструкциями детектить будет сложно, но всё опять упрётся в VmWare драйвера, т.к. без них работать мрак...

| Сообщение посчитали полезным:

s0larian пишет:
ЭЭээ так такой интерфейс уже есть - VmWare tools

его можно скрыть через HideToolz. А вот с новой шнягой будет уже не так просто

| Сообщение посчитали полезным:

Gideon Vi пишет:
А вот с новой шнягой будет уже не так просто
Наоборот проще. Раньше секретные команды были только в VmWare tools ,
а теперь еще во многих продуктах. Сосвечивая их друг с другом, получаем более точную инфу.

| Сообщение посчитали полезным:

tundra37 пишет:
Наоборот проще.

к стати, слона-то я и не увидел. Дейтсвительно, если это будет что-то на подобии VmWare tools, то во-первых оно может быть опциональным, а во-вторых - можно будет так же скрывать при помощи HideToolz

tundra37 пишет:
Сосвечивая их друг с другом, получаем более точную инфу.

Вопрос только в том, кто этим муторным делом будет на паблик заниматься

| Сообщение посчитали полезным:

Производительность - супер

с этим, к сожалению, готов поспорить

| Сообщение посчитали полезным:

Никто не мешает использовать и в дальнейшем действующие на сегодняшний момент версии, в которых новых прибомбасов нет. ИМХО, еще несколько лет вполне будут пригодны для использования в реверсинге.

| Сообщение посчитали полезным:

В конце концов, вегда есть куча аналогов, Parallels Workstation, Microsoft Virtual PC, Bochs, Qemu, Virtual Box
Хотя у некоторых из них производительность прямо скажем не очень, все программы использовал, от некоторых впечатление так себе...

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
В конце концов, вегда есть куча аналогов, Parallels Workstation, Microsoft Virtual PC, Bochs, Qemu, Virtual Box
Хотя у некоторых из них производительность прямо скажем не очень, все программы использовал, от некоторых впечатление так себе...

И какая-же из них тебе понравилась больше всего ?
А среди "аналогов" есть что-то с русским фейсом ?

| Сообщение посчитали полезным:

Из всех мне понравились больше всего все-таки VMware, и как её ближайший конкурент Microsoft Virtual PC. Обе правда с англ фесом, с русским фейсом есть только Virtual Box.
В Microsoft Virtual PC понравилась её производительность, практически на уровне, не отличающемся от VMware. Корректная работа с сетью, так же возможность установки множества систем, безнлючность.
Parallels Workstation достаточно странный эмуль, одна из фишек которого, кот мне так и осталась непонятной, это когда создаешь вирт систему с любым (!) размером винта, и запускаешь её, появляется какой то скрытый файл *.tmp весом в 1.5 гига, причем размер всегда такой же. вне зависимости от того, какой у вас винт на вирт машине, и сколько оперативы вы поставили. Причем, что самое интересное, место (судя по показателям реальной системы) от этого файла на винте меньше не становится... Честно говоря я немного в шоке ))) Производительность достаточно средняя, в ранних версиях была куча проблем с прогами, защещенныйми некоторыми навесными протами, типа Фемиды, при ppfgecrt такой проги система просто вылетала в синяк. Из плюсов, также хорошая поддержка работы с сетью, поддержка аппаратной виртуализации (правда, в Варе также есть её поддержка, если мне не изменяет память....
QEMU дико медленный эмуль, систему ставил на него в среднем около часа, если не больше, работает как консольное приложение, т.е. с помощью командной строки, правда есть сторонний ГУЙ значительно упрощающий работу с ним.... Поддержки сети похоже нет, при активизации опции "Полное ускорение вирт системы", система просто не может установится (я её так и не поставил до конца, терпения не хватило)....
Virtual Box достаточно молодой и перспективый эмуль, уже мультиязычный, поддерживает аппаратную виртуализацию, USB 2.0 устройства, установку до 256 метров видео памяти. Но сырой до глючности, никто не говорит что все это будет работать ADSL модем мне так и не удалось подключить как ЮСБ устройство, постоянно вылетала какая-то ошибка, сет настраивается крайней гиморно, даже я с чуцжой помощью еле справился. Но, что радует, оч высокая производительность, прикольная фишка вроде интеграция вирт раб стола в настоящую систему. Короче если даработают, получится оч хороший конкурент ВМВаре, а пока я вижу ему только одного конкурента, это Microsoft Virtual PC.

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
.... появляется какой то скрытый файл *.tmp весом в 1.5 гига, причем размер всегда такой же. вне зависимости от того, какой у вас винт на вирт машине, и сколько оперативы вы поставили. Причем, что самое интересное, место (судя по показателям реальной системы) от этого файла на винте меньше не становится...
Это sparse file DeviceIOControl() - FSCTL_SET_SPARSE

Мои 5копеек: для меня в VmWare ключевые моменты: snapshots, COM/pipe для windbg, VmWare tools/display driver, сеть: bridged + NAT.

| Сообщение посчитали полезным:

Кроме вари мне нравится vpc. Особенно реализация диска отмены, которая мне нравится больше, чем snapshots у вари.

Johnson Finger пишет:
поддержка аппаратной виртуализации (правда, в Варе также есть её поддержка, если мне не изменяет память....

Есть, как в варе, так и в vpc

fire4x пишет:
А среди "аналогов" есть что-то с русским фейсом ?

Как на варю, так и на vpc есть грамотные русификаторы

| Сообщение посчитали полезным:

Народ, ну объясните мне эту безграничную любовь к русификаторам?

| Сообщение посчитали полезным:

Ну не шарят в инглише челы, так и парятся, выделывая финты ушами. Не провоцируйте на оффтоп, не задавайте оффтоповых вопросов.

| Сообщение посчитали полезным:

s0larian, в добавок к твоим пяти копейкам, в Microsoft Virtual PC кстати это похоже тоже все есть.... Поэтому я и рассматриваю их хемуль пока что как единственный аналог VMWare.... Все остальные рядом не стоят, в Parallels Workstation на сколько я помню снимков вообще нет как класса, в Виртуал Боксе глючно настраивается сеть... Так что делаем выводы... Еще Xen хотел попробовать, но руки не дошли, и дистриб под Win32 не нашел.... Но пока и не задавался особо этой целью.... Кстати, мораль дня: VMware ~300 Мб (последняя версия), Microsoft Virtual PC ~30 Мб Делаем выводы ))))
Кстати, в след версии VMware обещают расширенную поддержку видео, не знаю, толи OpenGL эксперементально вводить собираются, то ли еще что-то... Но факт, в средненькие игрушки там уже можно поиграть, если активировать пару недокументированных фнкций по добавлению большего кол-ва видео памяти (по дефолту - 16 метров, но можно активировать все 128), и активации 3D ускорения...
Короче VMWare становится этаким комбайном, типа Nero, кот в свое время весил тоже около 30 метров, выполняя все свои осн-е фишки, теперь это чудо тоже разжирело и обросло тучей ненужных приложений...

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
Кстати, мораль дня: VMware ~300 Мб (последняя версия), Microsoft Virtual PC ~30 Мб Делаем выводы ))))
Выводы простые - идёт дикое наколачивание features по простой причине:
finance.google.com/finance?q=vmware

| Сообщение посчитали полезным:

Johnson Finger пишет:
Virtual Box достаточно молодой и перспективый эмуль, уже мультиязычный, поддерживает аппаратную виртуализацию, USB 2.0 устройства, установку до 256 метров видео памяти. Но сырой до глючности

Ужо VirtualBox 1.6.0 появился. Пишут типа общее число усовершенствований этой версии более 2000.

| Сообщение посчитали полезным: