ルートキットは仮想マシン内でどのように機能しますか？

上記のように、ルートキットは仮想ホストでも通常のホストと同様に機能します[〜＃〜]を除いて[〜＃〜]マルウェア/ウイルス/ルートキットの作成者は、仮想マシン内にあるかどうかを検出するメカニズムを開発しているため、通常のマシンとは異なる動作をするようにスクリプト/プログラミングできます。

これは、マルウェアがリバースエンジニアリングされている場合に非常に明白です。マルウェアが仮想化されていることを検出すると、マルウェアは異なる動作をします。一部の動作は、通常のルーチン/関数の実行を停止することである場合があります。自分自身を削除してみてください。これは、ホストがIDA Pro、OllyDBG、Immunity Debugger、Redlineなどのリバースエンジニアリングツールを実行しているかどうかを確認するマルウェアチェックに似ています。

VMWareエージェントはSSDTやIDT（システムサービス記述子テーブル、割り込み記述子テーブル）の変更などを監視するため、VMWareは特定のことに対して「 アンチルートキット 」アプローチを採用しています。しかし、結局のところ、動作は[〜＃〜]ほとんど[〜＃〜]と同じです。

質問からは明確ではありませんが、仮想マシンから「エスケープ」してホストマシンに影響を与えるようにプログラムされたマルウェアについて話し合っているようです。仮想マシンに重点を置いた攻撃があります。マルウェアが実行される1つのゲスト以外の他の仮想マシンに影響を与える可能性があります。

たとえば、 " blue pill "攻撃および他の形式の " hyperjacking "です。また、仮想マシンでのみ実行されるサービスを利用できる場合もあります。

ただし、多くの場合、従来のルートキットは仮想マシンに対しても実行されます。

通常のマシン内で行うのと同じように機能します。差ゼロ。ルートキットは、OS内のキーファイル、および場合によってはブートパーティションに感染します。これらの原則は、物理マシンと仮想マシンの両方に適用されます。通常のサーバーにはOSとブートパーティションに主要なシステムファイルがあり、仮想マシンにはOSとブートパーティションに主要なシステムファイルがあります。仮想マシン内のほとんどのルートキットは、それらが仮想マシン上にあることを認識していません。そのため、仮想マシンをホストする物理サーバーではなく、仮想マシンに感染するだけです。

上記は、標準ルートキットのみを参照しています。仮想マシンだけでなく、それをホストしているマシンに感染する特別なエクスプロイトとルートキットがあり、ブルーピルと仮想化を調べます。