и еще, нельзя ли мне реальный пример сандбокса, который дает доступ к аппаратным ресурсам и вдобавок - выборочно?
Ниже ring0 я лично не копал, т.к. подзабросил низкоуровневое программирование железа эдак в начале 2000х, но вот для vm86 такой пример вполне себе реально существует - emm386, и патченная его версия успешно пользовалась для эмуляции PC3K карточки. Асины утилиты спокойно себе работали на несуществующем фиизчески устройстве с портами 100h-107h Вот - хороший пример из вики по эмуляции несуществующих девайсов, но уже средствами SMM. Кстати, работающий.
Maba писал(-а):
кстати с сандбоксом у пользователя будет на 1 ядро меньше в системе, это конечно не слайдшоу, но заметить можно
С какой такой радости? Не путайте гипервизор с резидентным эмулятором железа.
Maba писал(-а):
упомянутые обработчики получают управление в результате аппаратного SMI-call от материнки - перегрев процессора, резкое изменение значений на счетчике оборотов вентилятора, запрос на переход в энергосберегающий режим по ACPI - во всех этих и подобных случаях будет наблюдаться кратковременный фриз системы, вдобаок на это отводится жесткий интервал времени - превышение его может вызвать крах операционки.
Упомянутые обработчики работают как раз по таймеру (во всяком случае - отвечающие за управление множителем/вентилляторами). И интервал времени им, насколько я знаю, не отводится, и оси глубоко все равно, сколько они выполняются - разве что отдельные куски кода типа хитрожелтых защит программ, пользующих RDTSC для определения наличия отладчика, могут капризничать.
Maba писал(-а):
а теперь представим себе с какой частотой придется дергать за програмное SMI (кстати оно отслеживается) той части вируса, которая будет жить в операционке, для полноценного функционирования и отслеживание обращений к дискам
С какой радости SMI будет программным? Полноценное аппаратное SMI при обращении к определенному диапазону портов...
Ниже ring0 я лично не копал, т.к. подзабросил низкоуровневое программирование железа эдак в начале 2000х, но вот для vm86 такой пример вполне себе реально существует - emm386, и патченная его версия успешно пользовалась для эмуляции PC3K карточки. Асины утилиты спокойно себе работали на несуществующем фиизчески устройстве с портами 100h-107h
Вот - хороший пример из вики по эмуляции несуществующих девайсов, но уже средствами SMM. Кстати, работающий.
С какой такой радости? Не путайте гипервизор с резидентным эмулятором железа.
Упомянутые обработчики работают как раз по таймеру (во всяком случае - отвечающие за управление множителем/вентилляторами). И интервал времени им, насколько я знаю, не отводится, и оси глубоко все равно, сколько они выполняются - разве что отдельные куски кода типа хитрожелтых защит программ, пользующих RDTSC для определения наличия отладчика, могут капризничать.
С какой радости SMI будет программным? Полноценное аппаратное SMI при обращении к определенному диапазону портов...