Blue Pill / Red Pill
 

Leo hoy en Kriptopolis:

Dejando a un lado que los Rootkit que crea esta mujer dan miedo, y que podría callar algunas bocas que dicen que las mujeres no saben programar. Vamos a centrarnos en su pildorita. Básicamente su Blue Pill (al mas puro estilo matrix) consigue que nuestro windows se ejecute de manera virtual, al vuelo, sin necesidad de reiniciar la maquina ni hacer cambios en el disco duro. De este modo controla todo lo que "ve y siente" windows de hay la referencia a matrix. No voy a entrar en los detalles técnicos, porque estan muy por encima de mi nivel, y además ya lo hace ella en su blog, pero en su blog también menciona una sencilla función para detectar si windows se esta ejecutando de forma virtual y, como no podía ser de otra manera, la llamo Red Pill. Pues bien, me he tomado la libertad de traducir su función a delphi (espero que nadie se moleste) y aquí os la dejo (código fuente y exe) por si tenéis curiosidad de saber si estáis dentro o fuera de matrix :D

PD: Como la mayoría no estaréis infectados, podéis probar como funciona ejecutándolo dentro de VirtualPC o vmware.

Hola,

Muchas gracias como siempre Seoane. :)

Código Delphi [-]

/* Itento de comprensión del código fuente */

program Matrix;

uses Windows;

function SwallowRedpill: Boolean;
var
  RedPill: array[0..7] of byte; // Hum...
  m: array[0..5] of byte;       // + Hum...
  p: procedure; stdcall;        // ++ Hum...
begin
  // Vale, vale, por algún sitio hay que empezar...
  RedPill[0]:= $0f; RedPill[1]:= $01; RedPill[2]:= $0d; RedPill[3]:= $00;
  RedPill[4]:= $00; RedPill[5]:= $00; RedPill[6]:= $00; RedPill[7]:= $c3;

  // ¿Pero esto qué es lo que es? :-)
  PPointer(@RedPill[3])^:= @m;
  
  // ¿Y adónde vamos ahora?
  p:= @RedPill;
  
  // Y ahora ejecutamos... ¿el qué? XD
  p();
  
  // Menos mal... ;´)
  Result:= m[5] > $d0;
end;

begin
  if SwallowRedpill then
    // Para que te enteres macho...
    MessageBox(0,'Estas dentro de Matrix','Matrix',MB_OK)
  else
    // A ver qué va a pasar, ¿eh? :)
    MessageBox(0,'Estas fuera de Matrix','Matrix',MB_OK);
end.

/* Fin del intento de comprensión del código fuente */

/* Resultados sobre 10: 2                           */

/* ¡Ouch! ^_* */

Tienes razón dec, la función quedo bastante extraña al intentar hacer una traducción mas o menos literal de la función en C. Pero viéndolo ahora con mas calma, recuerdo que Delphi permite escribir código en ensamblador sin tener que hacer este tipo de malabares.

La cosa ahora quedaría así:

Código Delphi [-]
function SwallowRedpill: Boolean;
var
  m: array[0..5] of byte;
begin
  // La instruccion SIDT nos devuelve el registro IDRT
  asm    
    SIDT m
  end;
  // Este valor toma unos valores caracteristicos si el sistema 
  // se ejecuta de forma virtual, vmware=$FF, VirtualPC=$E8, etc ... 
  Result:= m[5] > $d0;
end;

begin
  if SwallowRedpill then
    MessageBox(0,'Estas dentro de Matrix','Matrix',MB_OK)
  else
    MessageBox(0,'Estas fuera de Matrix','Matrix',MB_OK);
end.

Esto querido dec es la traducción mas o menos literal de esto otro:
:D ¿Que te parece?

Hola,

Bueno... pues con el ensamblador ya lo has terminado de arreglar... :eek: :D :eek:

Pero se agradece el intento. Lo cierto es que no podemos estar en todo, ¿que no? :eek: :D :)

PD. Al menos hoy prefiero verlo así... ;)

aaahhhh!!!, bueno, eso ya es otra cosa... ahora sí que está claro :D:D:D

Estoy totalmente de acuerdo con dec.

:D :D :D

Hola, yo de esto no entiendo nada. Pero nada de nada. Así que asustado me puse a probar la función y obtuve: "Estas dentro de matrix" Pero luego, me puse a ejecutarla varias veces seguidas y unas veces me dice que estoy dentro y otras que estoy fuera, algo casi aleatorio. ¿Me pueden explicar?

// Saludos

Eso es porque estas corriendo sicodelicamente intentando alcanzar la meta y recibes espamos de realidad.

Ten cuidado, al llegar, te desplomas.

;)

De todas maneras aunque tampoco me va muy bien con algo tan de bajo nivel conceptualmente es un hack, que viendolo bien, es obvio. Eso es lo mas preocupante.

Yo no entiendo mas que tu, me limite a copiar lo que decía ella. Solo puedo decir que a mi me funciona, si lo ejecuto en un windows real (Windows XP SP2) siempre me da que no es virtualizado. Sin embargo si lo ejecuto en un XP SP2 sobre vmware lo detecta, y si lo hago en un w98 o w2000 sobre VirtualPC también lo detecta.

El método no es infalible, ya que se basa en la suposición de que en un sistema real el contenido del registro IDRT es diferente que en un sistema virtual. De hecho deja entrever que se puede usar el contenido de este registro para identificar el software que se utiliza para la virtualización, y anima a la gente a que mande los diferentes valores que toma, para así hacer una tabla que relacione cada sistema con un valor.

Lo que me asombra es que el contenido del registro, en tu caso Roman, se modifique todo el tiempo. No creo que ese sea un comportamiento normal, pero ¿quien soy yo para decir lo que es normal? :D . De todas formas yo pasaría un detector de rootkits, no esta de mas asegurarse.

http://www.sysinternals.com/SecurityUtilities.html

Y si alguno se anima a probar el programa en su equipo o en alguna maquina virtual, estaría bien que pusiera si funciona bien. Por cierto, el problema ¿te lo da con las 2 versiones o solo con una de ellas?

Me dice que estoy fuera. No importa las veces que lo ejecute.

Win'Xp SP2

Saludos

Hola,

Lo mismo puedo decir yo. Además añadiré que probé también el programa original (escrito en C) obteniendo el mismo resultado. ;)

Pues parece entonces que estoy dentro o por lo menos algo tiene raro mi pc. Nada más por no dejar dudas les pregunto: ¿han ejecutado varias veces una tras otra en una rápida sucesión? Es que es así cuando me empiezan a aparecer distintos resultados.

// Saludos

Hola,

Sí; acabo de hacerlo tal como dices y "estoy fuera de Matrix"...

Yo he hecho algunas pruebas, y todas me han funcionado perfectamente:

* Windows 2000 ==> OK
* W98 (SE) + VirtualPC ==> OK
* WXP SP2 + VirutalPC ==> OK
* W98 + VMWare ==> OK
* WXP SP2 + VMWare ==> OK

Un saludo.

Como Speedy Gonzalez y todo está correcto.

Anda muy bien
 

Muy lindo todo , en un vmware me dice que estoy dentro, sino me dice que estoy fuera...

Pero la funcion SwallowRedpill esta en un idioma que excede totalmente mis conocimientos :confused:

Vaya! Ha pasado tiempo desde esto. Finalmente he reinstalado mi pc. O, mejor dicho, estoy con una nueva aquí en el trabajo.

Según esto estoy dentro de Matrix (a veces dentro, a veces fuera) y hasta el momento sólo he instalado cosas como Firefox, Thunderbird, Avast.

:confused:

Si que paso tiempo. Aunque el otro día vi este hilo por casualidad, y me pregunte si al final averiguaste porque se comportaba así el programa en tu PC. Aunque veo que el problema continua.

¿Utilizas la segunda versión? la de ensamblador, porque siendo así no se que puede fallar, es una simple instrucción, no puede haber fallo posible. Puede que algún programa de los que instalas, programas legítimos, este jugando con tu equipo. Pero vete a saber, este tema me sobrepasa :p

Yo más bien creo que la técnica no es confiable y, como dices, quizá algo en el software o hardware de un resultado inesperado. Porque además, como mencioné anteriormente, el resultado es aleatorio, a veces da positivo, a veces negativo.

Por otra parte, desde entonces me pregunto: esa instrucción, siendo una instrucción directa al procesador, debería poder ejecutarse en Linux, no? En tal caso, qué pasará?

// Saludos

Funciona perfectamente en linux. Yo lo he probado sobre un Ubuntu y me da que estoy "fuera", y probado sobre un vmware corriendo sobre ubunto me dice que estoy "dentro". El código original en C se puede compilar perfectamente tanto en windows como linux, y parece que funciona.

La pagina de Joanna Rutkowska con el código original
http://invisiblethings.org/papers/redpill.html

En casa tengo Linux en la misma laptop donde dice también que estoy dentro de matrix. Creo que es ubuntu (no recuerdo porque antes tenía fedora). En todo caso intentaré probar. Alguna forma sencilla de compilar el código en ubuntu?

// Saludos

Prueba con esto:
Luego recuerda asignar los permisos necesarios para ejecutar el programa resultante, y debería de funcionar. Por si te sirve aquí te dejo el programa ya compilado.

Hola seoane, gracias por el ejecutable.

Creo que estoy condenado a vivir en matrix. Bueno, lo cierto es que probé tu ejecutable en ubuntu y ahí si es definitivo que estoy fuera de matrix. Pero la pc del trabajo en windows me sigue haciendo lo mismo. Como es máquina me la habían dado ya preinstalada me entró el resquemor y por asegurar la formateé :D Hace mucho que no formateaba una máquina; deje de hacerlo cuando los discos superaron el giga :D Pero lo hice. Instalé el Windows desde cero, el windows original, no se vayan a creer que una copia pirata :p, sino el que venía con la pc. Apenas termino, metí mi usb, ejecuté el redpill y zas, afuera y adentro aleatoriamente.

Es un caso para la araña :eek:

// Saludos

yo tambien lo ejecute al codigo y siempre estoy afuera.

Roman que valores obtenes????

la verdad es que no entiendo mucho del articulo por mas que lo releo. Tampoco las cosas me cierran mucho las cosas.

Si tengo un vector de 6 bytes es logico que obtenga un valor de 12 caracteres hexa. y aca habla de direccion de 4 byte ???

y si mi ingles no me engaña (que puede ser), habla de VMWare y de Virtual PC, en los dos casos no es virtual ???

y ensima el valor que obtengo yo es: 8003F40007FF, tampoco empieza como ninguno de los que nombra. :confused:

aca les dejo la moficación del programa de seoane que devuelve en pantalla el valor del registro.

Edito: me olvidaba de comentar, uso WinXP sp2

Cuando dice que estoy dentro: F78A956007FF
Cuando dice que estoy afuera: 8003F40007FF

El único resquicio que veo en mi instalación desde cero es la memoria usb en donde guardé el redpill.exe que ejeucuté apenas terminó la instalación de Windows, antes siquiera de conectar el cable de red.

Quizá debiera

1. formatear otra vez
2. instalar linux
3. desde linux descargar el redpill.exe
4. instalar windows sin ninguna conexión al exterior
5. desde linux copiar el redpill.exe a la partición de windows
6. Correr el redpill.exe en Windows.

:eek:

// Saludos

En una de las referencias que se dan en el artículo original, puede verse la herramienta scoopy, con algo de explicación.

La ejecución de scoopy, me da resultados también variaditos:

// Saludos

Cual es tu procesador?

Me ha sorprendido mas la muchacha que lo inventó, que el código de Seoane...

Beauty and Brains... difícil combinación...

:D Ahí le diste Crandel, al parecer el los procesador dual core, cada "core" tiene su IDTR así que dependiendo de en cual este corriendo proceso el resultado es diferente. Por fin, la curiosidad me estaba matando ... :p

Intel (R) Pentium D CPU 2.80GHz

Y el de la laptop donde sucede los mismo (aunque de ella no puedo responder de su pureza):

Mobile Intel (R) Pentium (R) 4 CPU 3.33 GHz

// Saludos

:D No eres el único que lo piensa ...
http://www.clubdelphi.com/foros/showthread.php?t=36871

Vaya :( , lo del dual core explicaría lo del Pentium D. Pero nos deja igual en el caso del Pentium 4.

¿Estás seguro de esto? Vamos, es que una frase tan sencilla, para mi en realidad es chino.

Ahora, por alguna razón que no pretendo siquiera tratar de entender :D, la laptop, en el administrador de dispositivos marca que tiene dos procesadores, ambos idénticos. Esto debe ser un error pero no sé porqué o si tenga que ver.

// Saludos

:D Yo que voy a estar seguro, el que lo dice es este tipo

http://www.mnin.org/?page=vmmdetect&left=off

Exactamente sus palabas son
No tiene porque ser un error, hay placas con mas de un procesador. Además eso explicaría el baile del IDTR.

PD: Vaya maquinas tienes roman, algunos todavía vivimos con un ATHLON de 1,8 :(

Debe ser porque tu pentium 4 usa la tecnologia Hyper-Threading

enlace

:D Excelente, caso cerrado.

[quote=seoane]
No tiene porque ser un error, hay placas con mas de un procesador. Además eso explicaría el baile del IDTR.

Pero es que no tengo dos procesadores :eek: Pero sí hay dos gráficos :)

La del trabajo es la primera. Recién estrenadita con un monitor de 19 pulgadas. Estupendo!

Por cierto, ando queriendo armarme una pc para mi casa. ¿Qué tarjeta/procesador me recomiendan?

pd: ¿Puedo entonces concluir que la situación es normal, que no tengo rootkits metidos?

// Saludos

antes de cerrar el caso señor juez :D cual es la conclución?

que cuando tenemos dos micros o dos procesadores lógicos (Hyper-Threading), el segundo corre como si estuviera virtualizado. :rolleyes: