In effetti, di primo acchito, si potrebbe pensare che debba essere semplice per gli antivirus e gli antispyware verificare cosa stia succedendo nella workstation virtuale. Dopotutto, la guest virtual machine risiede all'interno della host machine. In realtà parte del processo di virtualizzazione riguarda lo “slicing” e il “dicing” degli elementi dei dati all'interno del guest, rendendo molto difficile il loro riconoscimento da parte di un'applicazione software, come un tool antimalware.

In genere i tool antimalware controllano a fondo memoria e file system per trovare eventuali codici maligni. Per capire cosa dovrebbe fare un antimalware per eseguire la scansione della memoria di un guest a partire dall'host, cominciamo con il considerare, innanzitutto, una non-virtual machine.

E' importante sottolineare che le non-virtual machine hanno una memoria virtuale. La maggior parte dei moderni sistemi operativi hanno un sistema di memoria virtuale che suddivide i dati all'interno della macchina. Utilizzando diverse tabelle, la memoria virtuale viene allora mappata su un indirizzo di memoria hardware. In questo modo ogni singolo processo in atto "vede" una quantità di memoria superiore a quella che è in realtà la RAM fisica è limitata. La maggior parte dei moderni sistemi operativi supportano la memoria virtuale facendo lo swapping dei data tra la RAM e l'hard disk o altri dispositivi di memoria di grande volume.

In un ambiente di virtual machine, il guest possiede il proprio sistema di memoria virtuale, come se le sue tabelle mappassero la visualizzazione della memoria di varie applicazioni su una memoria fisica. Ma la memoria fisica della guest machine è, in realtà, all'interno della memoria virtuale della host machine, che viene mappata nella memoria fisica che sta sotto l'host.

Non sapendo in quale direzione andare, non ci si deve stupire che sia difficile per un tool antimalware vedere all'interno dell'host e scoprire cosa stia succedendo all'interno della workstation virtuale. Per fare la scansione contro i malware all'interno della memoria del sistema virtuale, il tool antimalware dell'host dovrebbe leggere e distinguere tutte le tabelle della memoria virtuale del guest in tempo reale.

Una cosa analoga avviene nel file system. Nella maggior parte delle implementazioni di virtual machine, il file system del guest è solo un grande file nella host machine. Tutte le informazioni sulla formattazione sono memorizzate in quel file e qualsiasi file malware viene, qui, suddiviso in diverse parti che sono distribuite ovunque.

Per fare la scansione della host machine, lo scanner antimalware s'affida al sistema operativo stesso per raggruppare i settori dell'hard drive in file. Ma, lo scanner antimalware non ha questo privilegio nel guest. Ora, creare un tool antimalware che possa funzionare su un host e determinare cosa stia succedendo nel guest in teoria è possibile e potrebbe essere uno strumento molto utile. La sua architettura sarebbe, probabilmente, diversa da molti dei tool antimalware d'oggi. Un simile tool potrebbe implementare il proprio codice per distinguere una memoria virtuale guest e un file system. In alternativa, il tool potrebbe basarsi su un software nel guest per eseguire questa distinzione.

Un'altra possibilità riguarda un diverso tipo di tool antimalware che, invece di cercare una serie di firme, cercherebbe altre anomalie all'interno del guest. Queste anomalie possono essere facilmente distinte dall'host senza richiedere una mappatura completa della memoria e del file system.

Stampa Invia un commento Invia questo articolo