Blue Pill / Red Pill

[roman]

Yo más bien creo que la técnica no es confiable y, como dices, quizá algo en el software o hardware de un resultado inesperado. Porque además, como mencioné anteriormente, el resultado es aleatorio, a veces da positivo, a veces negativo.

Por otra parte, desde entonces me pregunto: esa instrucción, siendo una instrucción directa al procesador, debería poder ejecutarse en Linux, no? En tal caso, qué pasará?

// Saludos

[[seoane]]

Cita:

Empezado por roman

Por otra parte, desde entonces me pregunto: esa instrucción, siendo una instrucción directa al procesador, debería poder ejecutarse en Linux, no? En tal caso, qué pasará?

Funciona perfectamente en linux. Yo lo he probado sobre un Ubuntu y me da que estoy "fuera", y probado sobre un vmware corriendo sobre ubunto me dice que estoy "dentro". El código original en C se puede compilar perfectamente tanto en windows como linux, y parece que funciona.

La pagina de Joanna Rutkowska con el código original
http://invisiblethings.org/papers/redpill.html

[roman]

En casa tengo Linux en la misma laptop donde dice también que estoy dentro de matrix. Creo que es ubuntu (no recuerdo porque antes tenía fedora). En todo caso intentaré probar. Alguna forma sencilla de compilar el código en ubuntu?

// Saludos

[[seoane]]

Cita:

Empezado por roman

Alguna forma sencilla de compilar el código en ubuntu?

Prueba con esto:

Código:

gcc redpill.c -o redpill

Luego recuerda asignar los permisos necesarios para ejecutar el programa resultante, y debería de funcionar. Por si te sirve aquí te dejo el programa ya compilado.

[roman]

Hola seoane, gracias por el ejecutable.

Creo que estoy condenado a vivir en matrix. Bueno, lo cierto es que probé tu ejecutable en ubuntu y ahí si es definitivo que estoy fuera de matrix. Pero la pc del trabajo en windows me sigue haciendo lo mismo. Como es máquina me la habían dado ya preinstalada me entró el resquemor y por asegurar la formateé Hace mucho que no formateaba una máquina; deje de hacerlo cuando los discos superaron el giga Pero lo hice. Instalé el Windows desde cero, el windows original, no se vayan a creer que una copia pirata , sino el que venía con la pc. Apenas termino, metí mi usb, ejecuté el redpill y zas, afuera y adentro aleatoriamente.

Es un caso para la araña

// Saludos

[[Crandel]]

yo tambien lo ejecute al codigo y siempre estoy afuera.

Roman que valores obtenes????

la verdad es que no entiendo mucho del articulo por mas que lo releo. Tampoco las cosas me cierran mucho las cosas.

Cita:

It was observed that on VMWare, the relocated address of IDT is at address 0xffXXXXXX, whereas on Virtual PC it is 0xe8XXXXXX.

Si tengo un vector de 6 bytes es logico que obtenga un valor de 12 caracteres hexa. y aca habla de direccion de 4 byte ???

y si mi ingles no me engaña (que puede ser), habla de VMWare y de Virtual PC, en los dos casos no es virtual ???

y ensima el valor que obtengo yo es: 8003F40007FF, tampoco empieza como ninguno de los que nombra.

aca les dejo la moficación del programa de seoane que devuelve en pantalla el valor del registro.

Edito: me olvidaba de comentar, uso WinXP sp2

[roman]

Cuando dice que estoy dentro: F78A956007FF
Cuando dice que estoy afuera: 8003F40007FF

El único resquicio que veo en mi instalación desde cero es la memoria usb en donde guardé el redpill.exe que ejeucuté apenas terminó la instalación de Windows, antes siquiera de conectar el cable de red.

Quizá debiera

1. formatear otra vez
2. instalar linux
3. desde linux descargar el redpill.exe
4. instalar windows sin ninguna conexión al exterior
5. desde linux copiar el redpill.exe a la partición de windows
6. Correr el redpill.exe en Windows.



// Saludos

[roman]

En una de las referencias que se dan en el artículo original, puede verse la herramienta scoopy, con algo de explicación.

La ejecución de scoopy, me da resultados también variaditos:

Código:

####################################################
::        scoopy - A VMware Fingerprinter         ::
::              Windows version v1.0              ::

[+] Test 1
IDT base: 0xf78a9560 -> should be VMware (but unknown version)


[+] Test 2
LDT base: 0xdead0000 -> native Win2000/XP/2003 (100%)

[+] Test 3
GDT base: 0x8003f000 -> native WinXP/2003      (100%)

::                   by tk,  2003                 ::
::                 [www.trapkit.de]               ::
####################################################


####################################################
::        scoopy - A VMware Fingerprinter         ::
::              Windows version v1.0              ::

[+] Test 1
IDT base: 0x8003f400 -> native WinXP/2003      (100%)

[+] Test 2
LDT base: 0xdead0000 -> native Win2000/XP/2003 (100%)

[+] Test 3
GDT base: 0xf78a9160 -> should be VMware (but unknown version)

::                   by tk,  2003                 ::
::                 [www.trapkit.de]               ::
####################################################


####################################################
::        scoopy - A VMware Fingerprinter         ::
::              Windows version v1.0              ::

[+] Test 1
IDT base: 0xf78a9560 -> should be VMware (but unknown version)


[+] Test 2
LDT base: 0xdead0000 -> native Win2000/XP/2003 (100%)

[+] Test 3
GDT base: 0xf78a9160 -> should be VMware (but unknown version)

::                   by tk,  2003                 ::
::                 [www.trapkit.de]               ::
####################################################

// Saludos

[[Crandel]]

Cual es tu procesador?

[xander]

Me ha sorprendido mas la muchacha que lo inventó, que el código de Seoane...

Beauty and Brains... difícil combinación...

[[seoane]]

Cita:

Empezado por Crandel

Cual es tu procesador?

Ahí le diste Crandel, al parecer el los procesador dual core, cada "core" tiene su IDTR así que dependiendo de en cual este corriendo proceso el resultado es diferente. Por fin, la curiosidad me estaba matando ...

[roman]

Cita:

Empezado por Crandel

Cual es tu procesador?

Intel (R) Pentium D CPU 2.80GHz

Y el de la laptop donde sucede los mismo (aunque de ella no puedo responder de su pureza):

Mobile Intel (R) Pentium (R) 4 CPU 3.33 GHz

// Saludos

[[seoane]]

Cita:

Empezado por xander

Me ha sorprendido mas la muchacha que lo inventó, que el código de Seoane...

Beauty and Brains... difícil combinación...

No eres el único que lo piensa ...
http://www.clubdelphi.com/foros/showthread.php?t=36871

[[seoane]]

Cita:

Empezado por roman

Intel (R) Pentium D CPU 2.80GHz

Mobile Intel (R) Pentium (R) 4 CPU 3.33 GHz

Vaya , lo del dual core explicaría lo del Pentium D. Pero nos deja igual en el caso del Pentium 4.

[roman]

Cita:

Empezado por seoane

cada "core" tiene su IDTR

¿Estás seguro de esto? Vamos, es que una frase tan sencilla, para mi en realidad es chino.

Ahora, por alguna razón que no pretendo siquiera tratar de entender , la laptop, en el administrador de dispositivos marca que tiene dos procesadores, ambos idénticos. Esto debe ser un error pero no sé porqué o si tenga que ver.

// Saludos

[[seoane]]

Cita:

Empezado por roman

¿Estás seguro de esto? Vamos, es que una frase tan sencilla, para mi en realidad es chino.

Yo que voy a estar seguro, el que lo dice es este tipo

http://www.mnin.org/?page=vmmdetect&left=off

Exactamente sus palabas son

Cita:

unless the processor is dual-core, in which case each core has its own IDTR

Cita:

Empezado por roman

marca que tiene dos procesadores

No tiene porque ser un error, hay placas con mas de un procesador. Además eso explicaría el baile del IDTR.

PD: Vaya maquinas tienes roman, algunos todavía vivimos con un ATHLON de 1,8

[[Crandel]]

Debe ser porque tu pentium 4 usa la tecnologia Hyper-Threading

Cita:

La tecnología Hyper-Threading está habilitada si existen dos gráficos históricos del uso de la CPU en el Administrador de tareas de Windows XP

enlace

[[seoane]]

Excelente, caso cerrado.

[roman]

[quote=seoane]
No tiene porque ser un error, hay placas con mas de un procesador. Además eso explicaría el baile del IDTR.

Pero es que no tengo dos procesadores Pero sí hay dos gráficos

Cita:

Empezado por seoane

PD: Vaya maquinas tienes roman, algunos todavía vivimos con un ATHLON de 1,8

La del trabajo es la primera. Recién estrenadita con un monitor de 19 pulgadas. Estupendo!

Por cierto, ando queriendo armarme una pc para mi casa. ¿Qué tarjeta/procesador me recomiendan?

pd: ¿Puedo entonces concluir que la situación es normal, que no tengo rootkits metidos?

// Saludos

[[Crandel]]

antes de cerrar el caso señor juez cual es la conclución?

que cuando tenemos dos micros o dos procesadores lógicos (Hyper-Threading), el segundo corre como si estuviera virtualizado.