Autor
esta vez junto a Loic Duflot por una de esas coincidencias inexplicables que llevan a dos personas a tener la misma idea sin saberlo.Esta vez ataca el SMM (System Management Mode) no es algo nuevo y ya estaba documentado por los ingenieros de Intel. Las pruebas se realizan sobre placas base DQ35JO de Intel:
http://www.intel.com/products/desktop/motherboards/DQ35JO/DQ35JO-overview.htm
Aquí podeis descargar una presentación sobre lo que se califica como 'SMM Rootkits':
http://www.eecs.ucf.edu/%7Eczou/research/SMM-Rootkits-Securecom08.pdf
Modificarndo los registros MTRR es posible escribir en la SMRAM, zona de memoria en principio solo destinada al uso de la BIOS. En GNU/Linux en principio es posible realizar dichas modificaciones como root desde /proc/mtrr. Bajo plataformas M$ necesitaremos cargar un driver en el sistema, aunque como muchos ya sabeis, sobre Vista, ya no es ningún misterio
Attacking SMM Memory via Intel® CPU Cache Poisoning
http://invisiblethingslab.com/resources/misc09/smm_cache_fun.pdf
En línea
