VM как rootkit

Исследователи из Microsoft и Мичиганского университета опубликовали статью, где обосновали возможность создания нового класса программ-невидимок. Собственно, такие программы уже созданы - это виртуальные машины, такие как VMWare или VirtualPC, но их же можно использовать и для сокрытия от пользователя компьютера непродуктивной деятельности. Исследовали назвали такие системы Virtual Machine Based Rootkit (VMBR). Они запускаются до операционной системы и контролируют все взаимодействие программ с аппаратурой. Таким образом, пользователь работает как бы внутри виртуальной машины и не может увидеть процессов, выполняющихся за ее пределами. Аналогично, не могут заподозрить опасность и различные защитные программы, которые специализируются на поиске программ-невидимок. Таким образом, технология виртуализации, которая активно развивается в последнее время, может быть использована во вред. Исследователи разработали макет VMBR, который назвали SubVirt. Он будет продемонстрирован на симпозиуме по компьютерной безопасности, который будет проводиться IEEE в 2006 году.