Как не потерять веру в корень доверия?

Когда мы имеем дело с заражением компьютера вирусами на уровне пользователя, мы можем использовать известные способы противодействия, которые опираются на API ядра, — завершить опасный процесс, удалить вредоносный файл. Но что если скомпрометировано ядро ОС или прошивка, которая должна служить корнем доверия? В докладе рассмотрим потенциальные векторы заражения буткитами систем на базе BIOS и UEFI. Поговорим о том, как с помощью связки Xen — LibVMI — Drakvuf пронаблюдать за поведением вредоноса и какие события или признаки в рамках наблюдения позволят судить о попытке внедрения буткита.