Titre :
|
Utilisation des VM_exit par les malwares pour échapper à l'analyse en Sandbox (2015)
|
Auteurs :
|
Antoine Perdriat, Auteur ;
Nizar Kheir, Auteur
|
Type de document :
|
Article : texte imprimé
|
Dans :
|
MISC: Multisystem & Internet, Security, Cookbook (N°82, Novembre/Décembre 2015)
|
Article en page(s) :
|
P. 60-65
|
Langues:
|
Français
|
Sujets :
|
IESN
Evasion (informatique)
;
Logiciel malveillant
;
Sandbox
;
Virtualisation
;
VM (informatique)
|
Résumé :
|
"Un environnement virtualisé a besoin d'utiliser les ressources physiques de notre machine pour fonctionner. Alors que l'accès à ces ressources physiques se fait d'habitude directement par la machine virtuelle, et ce en utilisant la fonction VM_exit. Cependant, cette caractéristique entraîne une latence lors de l'utilisation de certaines instructions. Les logiciels malveillants (malwares) peuvent alors utiliser cette particularité en mesurant ce délai pour détecter leur exécution dans une machine virtuelle. Dans cet article, nous expliquons la fonction VM_exit, son utilisation par les malwares et nous proposons un mécanisme de détection de cette dernière." (Extrait de MISC n°82)
|