Sunday, August 31, 2008

Teamwork & Crediting

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology is getting more and more complex, security research, especially offensive security research on a system level, becoming more and more difficult to be done by one person. NX/XD, ASLR, various StackGuard-like things, VT-d, TXT, etc... - all those technologies leave less and less space for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting system-level attacks. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 widespread "deployment" of Web 2.0 creates a whole new area to explore, but that is a whole different world (plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still all those "human factor" attacks that exploit user stupidity, but again, this is a different area).

Our Xen 0wning Trilogy is a good example of how a team of researchers can still come up with interesting new system-level attacks against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very recent and securely design system. Take XenBluePill as an example.

It has first been months of research and coding done by Alex and myself to support nested hardware virtualization on AMD. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was months of Rafal's research about how to load code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running Xen on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly ("Xen Loadable Modules"). That required ability to access Xen's memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place and Rafal's way for doing that was to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DMA attack. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it turned out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen 3.3 uses VT-d protection to protect against this very kind of attacks. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Q35 attack" that exploited a problem with recent Intel BIOSes on recent mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards (details are coming this week). But I based my attack on a similar SMM attack that Rafal came up with a few months earlier on a different chipset, when he was looking into ways to compromise SMM handler, as we started thinking about HyperGuard project back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n and Rafal was curious reliable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMM protection is. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, Alex "converted" our working New Blue Pill that had full support for nested virtualization but was essentially a Windows driver, into a piece of code that was completely OS-independent (own memory management, etc.). Then I finally took Rafal's XLM framework, added a few minor things that were needed to load our "Windows-independent Windows driver" into Xen using XLM, fixed some minor stuff and... it finally worked! But that was possible only because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 joint work by all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three people togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

So, it is simply unfair to attribute all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glory and fame for our research to "Rutkowska" or "Rutkowska and team", as many news portals did. Please don't forget to credit all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 co-authors! If you really would like to use a generic term, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n "Invisible Things Lab team" would probably serve better.

Speaking of our team, I also have an announcement that starting this month our team has officially been extended by yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person: Rong Fan from Beijing, China.

Rong is a software engineer, focusing on Intel's hardware virtualization technology (VT). A few months ago he wrote to me with some advanced questions regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of our New BluePill that we published after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year's Black Hat. Turned out that Rong, as part of his after-hour activity, is porting Bluepill to VT-x. After he succeeded, we decided to share our nested virtualization code for AMD with him so that he could investigate how to do it on VT-x. And about 2 months ago Rong succeeded with implementing full nested virtualization support for our NBP on Intel VT-x! During that time Rong has had an opportunity to find out that working with ITL is quite fun, so he decided to quit his job at Lenovo and joined ITL full time. Right now Rong is busy adding nested VT-x support to a normal Xen hypervisor.

So, Invisible Things Lab is all about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team work. The whole idea behind ITL is to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a bunch of smart people, so that we could all work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most exciting problems togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Problems that might be too complex or time-consuming for just one person to solve. But it takes more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just money to get people to be creative and devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to work. Getting recognition is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional factors often needed. That's why ITL is not interested in "hiding" its employees, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in promoting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work and fairly crediting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Tuesday, August 26, 2008

Intel patches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q35 bug

Yesterday Intel has published an official advisory that addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q35 bug and attack, that we used during Black Hat as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways to subvert Xen 3.3 on a VT-d enabled system (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative way was to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen-specific FLASK exploit, that worked even from an unprivileged domain).

One small clarification though: in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisory cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y stated that: "Software running administrative (ring 0) privilege can under certain circumstances change code running in System Management Mode." But in fact an attacker might also use this bug to directly modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor memory, without jumping into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMM first, just as we did it with our exploit. Also, in case of e.g. Linux systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ring0 access is not strictly required to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, as it's just enough for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI config space of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device 0:0:0, which e.g. on Linux can be granted to usermode applications via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iopl() system call.

You can download a new firmware for your mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard from here.

Intel did a good job on handling this bug - not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, but also released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch promptly. Quite positively surprising as for such a big company.

So, now we're free to publish all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing slides about how we exploit this vulnerability that we had to remove from our Black Hat presentation, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit code. However, as I'm going to give 2 presentations at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming ISF conference in Sweden early next week, I thought it would be logical to wait with disclosing this material and present it at this conference, during my technical speech (I will also deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote for this conference). Of course, as soon as I will get back home (Thursday next week), we will publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full slides, exploit codes and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demos, as promised earlier.

Speaking of speaking: also next month, Rafal will fly to Oregon, to Intel campus, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Virtualization Security Summit, where he will deliver a "compressed" version of our Xen 0wning Trilogy to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical crowd of Intel employees. Rafal will provide some more details about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HyperGuard project that we do in cooperation with Phoenix Technologies. Also, in October, Alex will visit Kuala Lumpur and present an updated Bluepilling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen Hypervisor talk at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hack In The Box conference.

Wednesday, August 20, 2008

Attacking Xen: DomU vs. Dom0 consideration

As it usually happens, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some confusion regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks presented in our Xen 0wning Trilogy. Some people think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are possible only from Dom0 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen's privileged, administrative domain) while some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impression that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks are possible from any unprivileged domain (DomU in Xen’s terminology). The truth is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle though.

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks we presented do indeed require that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker first obtained access to Dom0 and only from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re can launch furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacks. For example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DMA attacks that allow to overwrite hypervisor memory do indeed assume Dom0 access. The same applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q35 exploit - this one is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above mentioned DMA attacks in that it also requires access to certain hardware (that is possible from Dom0), but has an advantage that can bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor VT-d protection in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Xen 3.3.

There are several reasons why those attacks are still very important though:
1) First note, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to have access to Dom0 in order to install e.g. hypervisor rootkits, is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement that in order to install a Windows or Linux rootkit, one first needs to obtain administrator's privileges. Yet we know that Windows or Linux rootkits is a serious security problem.

2) Concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen-based systems specifically: over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year several bugs have been discovered and published, that allowed an attacker to gain control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Domain0 from an unprivileged domain (i.e. escape from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual machine). Rafal has discovered one such bug in December 2007.

3) Recent versions of Xen make deliberate effort to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor even from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dom0. On systems that have IOMMU support (e.g. Intel's VT-d), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor memory is protected from tampering using both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processor's ring3/ring0 separation mechanism as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IOMMU protection. We showed that those protections can be bypassed.

The attempt to isolate hypervisor and protect it even from attacks originating from Dom0 is not surprising. After all if we would like to treat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor as a root of trust, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we should make sure that its code base is minimal. If we now allow Dom0 to effectively be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor (i.e. if we don't care about Dom0-to-hypervisor escalations) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we should include all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dom0 code to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor code base, when evaluating hypervisor security. This would result in our "extended hypervisor" having not ~300k lines of code (like current Xen does), but millions of lines of code!

Having said that all about how important it is to prevent all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible Dom0-to-hypervisor attacks, I should stress that we also presented an attack that does not require Dom0 access and that can be spawned from an unprivileged DomU domain. As far as I'm aware, Rafal's FLASK bug & exploit (presented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd presentation) was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first public example of a successful exploitation of an overflow in a bare-metal hypervisor. The bug was a heap overflow and Rafal presented some clever tricks of how to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen's heap allocations in order to make this bug exploitable.

Please note that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit-like stuff that we also presented, i.e. Rafal's Xen Loadable Modules framework and his hypervisor rootkits, as well as Alex's and mine XenBluePill, can all be used with all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above mentioned attacks. So, e.g. if we are on a machine that has VT-d support and run Xen 3.3 we can still use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q35 attack and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XLM framework running and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use it to install e.g. XenBluePill on top of running Xen, as showed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd presentation. Similarly, we could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FLASK exploit and get XLM running again and again used it for installation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stuff.

Hope this clears some confusion about our presentations. As already promised, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 codes and demos and full version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd talk slides (with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q35 attack details) will be posted after Intel release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards. Stay tuned.

Friday, August 08, 2008

Our Xen 0wning Trilogy Highlights

Below you can find highlights of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three presentations, collectively referred to as "Xen 0wning Trilogy", that Alex, Rafal and I gave today at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat conference in Las Vegas.

Talk #1

1) Practical implementation of reliable and portable DMA attacks from Domain 0 to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen hypervisor memory.

2) Xen Loadable Modules :) A framework that allows to load arbitrary C code modules into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running Xen hypervisor. It uses DMA attack from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous point to get access to Xen memory.

3) Two implementations of Xen Hypervisor Rootkits. This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time that working hypervisor rootkits have been presented (note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinction between hypervisor rootkit vs. virtualization based rootkits).

Talk #2

1) Discussed how Xen 3.3 makes use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel VT-d technology to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor.

2) Then we discussed how to bypass such VT-d protection on certain mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards, like e.g. Intel DQ35 board.

3) An extra bonus: our attack from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous point allows also to subvert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMM handler and e.g. install an SMM rootkit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

4) Discussed ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Xen security mechanisms like driver domains, stub domains, PV GRUB and also attempted to quickly compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of Xen security design with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hyper-V and ESX hypervisor.

5) Showed an exploitable heap overflow bug in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen hypervisor. The bug was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FLASK module -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA implementation of Xen Security Modules. FLASK, however, is not turned on by default, so even though we showed how to successfully exploit this heap overflow (which results in an escape from an unprivileged domain directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor), this is not a bug that can be used to 0wn The Planet. It shows, however, what happens when people start adding more and more code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor.

6) Introduced HyperGuard -- a project done in cooperation with Phoenix Technologies. HyperGuard is going to be a SMM-based integrity scanner for Xen-like hypervisors. With HyperGuard we take a different approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r integrity scanners do -- racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correctness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code and data of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor, which might be very tricky, we instead ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no untrusted code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor, which is a much simpler task.

Talk #3

1) Provided detailed description of how to implement nested hardware based virtualization on AMD-V and VT-x (a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides from my RSA speech in April).

2) Showed how to use this nested virtualization to implement Blue Pill Boot, that can be used to virtualize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system right from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot stage. We mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defend against this kind of system compromises is a trusted boot mechanism, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SRTM or DRTM, as implemented e.g. by Xen's tboot.

3) Consequently we showed Xen Blue Pill that is able to move a running Xen system into a virtual machine on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly. This, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cannot be prevented by neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SRTM nor DRTM technology. XBP is a good example that running a legitimate hypervisor doesn't always prevent bluepill-like malware from being installed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

4) Finally, discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XBP detection. First, we noted that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "VMM detectors", proposed over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last years, that try to detect if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a hypervisor running above, are useless in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a bluepilled Xen system. The only one approach that could be used is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direct timing analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #VMEXIT times in order to distinguish between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 native Xen case vs. bluepilled Xen case. We noted however, that direct timing analysis will not observe any differences when run from PV domains on AMD processors, and that it will observe little difference when run from HVM domains (7k vs. 5k cycles). The detection is easier on Intel processors, because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unconditional #VMEXIT that we cannot get rid of.

All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three talks can be found here.