> 1) гипервизор портит кэш Его и еще много кто портит. Кроме того, в зависимости от типа виртуализации доступа в настоящий железный кеш может и не быть. Как пример: полный софтварный эмулятор железа типа bochs и подобных - может эмулировать все, включая кеш. Он же и системные часы и прочие тамеры эмулирует, поэтому то что он вам покажет то и будет :). Очевидно, при этом виртуализатор имеет стопроцентный контроль над поведением системы и программ в нем. И всегда может например заставить виртуальный процессор сделать "немного не то", слегка надув операционку и программы. Универсального детекта вообще не получается, не так ли? Полный виртуализатор вы не сможете обнаружить. А если он возжелает к вам применить некую логику - значит "железо себя так повело".
> 2) занимает память
> 3) обрабатывает прерывания
Опять же, не вижу проблем в случае полного виртуализатора показать вам то что вы хотели видеть, а то что виртуализатор может вклиниться в вашу логику работы - ну простите пожалуйста. Попробуйте так задетектить например штуки типа bochs? :)
> Дальше объяснять или и так дошло? Ресурсы, как ни крути, гипервизор пользует
> совместно с гостем.
Все так. Только вот гостю не обязано быть видно гипервизор и занятые им ресурсы. Гипервизор может с той или иной степенью достоверности обманывать гостя, показывя ему не настоящее состояние дел, а виртуализованное. В случае полной программной эмуляции например, можно эмулировать железо сколь угодно точно, равно как и с любой степенью надувательства гуеста. Очевидно, при точной программной эмуляции проца и железа, отличить их от настоящих невозможно. А скорости и ресурсы - так простите, виртуализатор и таймеры вам обеспечивает - узнать что они врут вы можете разве что какими-то нетривиальными методами типа синхронизации времени по NTP несколько раз. Если, конечно, выход в сеть есть, что совсем не факт :)
> Как определить из гостя утечку ресурса и какого именно - вариантов море.
В зависимости от степени виртуализации - есть и море вариантов как вам показать не от что есть на самом деле :)
> Сама идея гипервизор/гость это реинкарнация реального и виртуального 8086
Что-то общее конечно у идей есть, но... но полный виртуализатор может вам вообще показать совсем другую машину. Как бы удачи узнать что вас обманули :).Узнать это можно лишь нащупав какойнить дебаговый и-фейс виртуализатора. Но как вы понимаете, его может и не быть.
> - можете порыться в истории как определить какой из
> этих режимов активен. Некоторые из тех методов актуальны до сих пор.
Но я все-таки не вижу,
1) Как детектить бяку в SMM и как отличить легитимную активность SMM от нелегитимной.
2) Я не вижу внятного метода задетектить полную виртуализацию. Остальные случаи - это то или иное приближение к полной, чем ближе, тем более труднообнаружимо.
> Касательно обсуждаемой новости - ну видел такое в опенсюзе года 3 назад,
> лет 8 назад бредили чем то подобным в альте, на основе vserver/virtuozo.
Ага, конечно. Этак по вашей логике, простенький сейф в чистом поле "кто утащит, того и тапки" и банковское хранилище с вооруженной до зубов охраной и системой ограничения доступа - одинаковы по степени защищенноти :)
> Ну на десктопе у меня 3 виртуалки, все линуксовые, под
> разные задачи, что мне бежать пеариться теперь на каждом углу?
Запустить три виртуалки - много ума не надо. Сделать юзабельное решение где все попилено на части, есть временные окружения и прочая - как-то больше работы и более вменяемо выглядит.
> Вы тут о другом задумайтесь - а что будет при компрометации самого-то
> гипервизора?
Будет то самое. Только вот взломать мелкий гипервизор - сложнее чем более жирные и разлапистые решения. Рутковска это отлично понимает. И вроде все правильно сделала, так как и следует делать подобные вещи. Не вижу в каком месте это - плохо. Это лишь 1 из решений. Крутое и параноидальное, но ресурсожоркое.
А так - ну возьмите и сломайте решение рутковской :). Вот тогда и вы себя зарекомендуете отличным специалистом, и пиара отхватите по полной.
> А, его же Рутковска делала, он не то что необнаружим
> он еще и неуязвим.
Слишком толсто: Рутковска не писала xen :P.
ЗЫ я сам не дурак опенвз/lxc поиграться :). Но надо быть совсем дебилом чтобы думать что это даст такую же степень изоляции как параноидальные навороты Рутковской :Р. Изоляция будет несколько хуже, т.к. довольно большие куски одного и того же ядра юзаются на всех. И если там будет бага ... и она там будет более вероятно чем в мелком гипервизоре, ага.
Вариант для распечатки
