VMWare hat es auf der VMWorld Europe 2008 angekündigt und ich will etwas näher darauf eingehen.
Was ist VMSafe und was bedeutet die Freigabe der API‘ s?
Die VMSafe API‘ s erlauben es den Kooperationspartnern von VMWare Security eine schicht tiefer anzusetzen als bisher.
Bisher hat man einen Virenscanner immer im Betriebssystem installiert und die Virenschreiber haben versucht diesen AV Schutz vor der Aktivierung des „richtigen“ Virus zu deaktivieren.
Mit der VMSafe Technologie ist es den Herstellern nun möglich direkt auf dem Prozessor, Arbeitsspeicher, Disk I/O etc zu lauschen und daher Schadsoftware schon weit früher festzustellen.
Meiner Meinung ein bahnbrechender Schritt in Richtung noch mehr virtualisieren.
VMBlog geht näher darauf ein und nennt auch die Partner
Ich hab noch Schwierigkeiten damit, mir das vernünftig vorstellen zu können. Für den Host ist das RAM das Gasts ein großer Batzen binärblob. Im Schnitt ist der 512MB groß. Den Seite für Seite zu durchsuchen ist nicht so sinnvoll – außerdem weiß der Host ja ohne Infos über das Gast-OS noch nicht mal die Seitengröße…
Wie will man dort effektiv nach Malware suchen? Für eine effektive, zielgerichtete Suche bräuchte man die Hilfe des Betriebssystem (des Gasts) – auf die kann man sich ja aber nicht verlassen….
Gibts schon ein Paper wo das etwas genauer beschrieben ist?
Leider nein, VMWare arbeitet mit den paar Partnern zusammen und hält die Dokumentation noch verschlossen.
Sobald sich da aber was neues ergibt werde ich es bloggen, versprochen