Tools Hypervisor Memory Introspection

[KAJIT]

t00l-za по сабжу

GitHub - fengjixuchui/hvmi: Hypervisor Memory Introspection Core Library

Hypervisor Memory Introspection Core Library. Contribute to fengjixuchui/hvmi development by creating an account on GitHub.

github.com

HVI расшифровывается как Hypervisor Introspection. Этот термин используется как взаимозаменяемый с HVMI, который немного более специфичен и означает Hypervisor Memory Introspection.

Virtual Machine Introspection определяется как техника анализа состояния и поведения гостевой виртуальной машины извне. Кроме того, Introspection может использовать расширения виртуализации для обеспечения безопасности.

Основная цель данного проекта - обеспечить непревзойденную безопасность за пределами виртуальной машины, используя аппаратную изоляцию, обеспечиваемую Intel VT-x. Основными категориями атак, которые предотвращает HVI, являются:

• Бинарные эксплойты внутри защищенных процессов
• Техники инъекции кода и данных внутри защищенных процессов
• Перехват функций внутри защищенных процессов, в назначенных системных DLL
• Руткиты (блокируются различные техники, такие как inline хуки в ядре или других драйверах, SSDT-хуки, Driver-object хуки, модификация системных регистров и т.д.)
• Эксплойты ядра
• Повышение привилегий
• Кража учетных данных
• Глубокая интроспекция процессов (предотвращает создание процесса, если родительский процесс был скомпрометирован)
• Бесфайловые вредоносные программы (сканирование командной строки powershell)

Более подробную информацию можно найти в спецификации HVMI и в блоге HVMI.