Показано с 1 по 3 из 3.

Буткит обходит шифрование жесткого диска

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Буткит обходит шифрование жесткого диска

    На конференции Black Hat австрийский IT-специалист Петер Кляйснер представил буткит под названием Stoned, который способен обходить раздел жесткого диска TrueCrypt и системное шифрование. Буткит объединяет в себе руткит и способность модифицировать основную загрузочную запись (Master Boot Record), что позволяет активировать вредоносное ПО еще до старта операционной системы.

    Доступный в виде исходных кодов, буткит Кляйснера способен заражать 32-битные версии всех ОС Windows, начиная с Windows 2000 и заканчивая Windows Vista, а также кандидат на релиз Windows 7. Stoned вставляет себя в основную загрузочную запись (MBR) – область, остающуюся незашифрованной, даже если весь остальной жесткий диск зашифрован полностью. Во время запуска BIOS сперва обращается к буткиту, который в свою очередь запускает загрузчик TrueCrypt. По словам Кляйснера, для обхода механизма защиты TrueCrypt ему не пришлось видоизменять ни хуки, ни сам загрузчик. Вместо этого буткит перенаправляет прерывание ввода-вывода 13h, что позволяет ему вставить себя между вызовами Windows и TrueCrypt. Создать буткит для TrueCrypt Кляйснер смог, используя открытый исходный код TrueCrypt.

    После загрузки операционной системы при помощи Stoned можно устанавливать и использовать различные вредоносные программы, такие например, как банковские трояны. Петер Кляйснер, которому сейчас всего 18 лет, разработал также функционирующий при загрузке взломщик паролей и методику для заражения BIOS, причем предоставленный им интерфейс разработки позволяет другим программистам создавать свои собственные плагины для буткита. Кляйснер считает, что Stoned мог бы быть интересен и спецслужбам, например - при разработке государственного трояна.

    По словам этого молодого человека, после установки буткит Stoned нельзя обнаружить традиционными антивирусными программами, поскольку он не производит никаких изменений компонентов Windows в памяти, работая параллельно с ядром Windows. Остановить буткит не способны даже антивирусные функции BIOS, поскольку современные операционные системы Windows модифицируют MBR, не обращаясь к BIOS.

    Тем не менее, для успешного заражения необходимо иметь права администратора или физический доступ к системе, плюс к этому, уязвимыми в настоящий момент являются лишь компьютеры с традиционной BIOS, поэтому атака не удастся, если в материнской плате работает преемник BIOS, Extensible Firmware Interface (EFI). В связи с этим самым эффективным механизмом защиты представляется шифрование всего диска программным обеспечением на основе платформы Trusted Platform Module (TPM).

    Например, использование собственного механизма шифрования Windows под названием BitLocker является эффективным противоядием, поскольку хэш инфицированной MBR в таком случае больше не будет совпадать с хешем, хранящимся в TPM, что позволит TPM остановить процесс загрузки. Кроме того, Кляйснер не смог ответить на вопрос о том, способен ли предотвратить инфекцию аппаратно зашифрованный жесткий диск.

    http://www.stoned-vienna.com/

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    630
    В связи с этим самым эффективным механизмом защиты представляется шифрование всего диска программным обеспечением на основе платформы Trusted Platform Module (TPM)
    ? как тогда это понимать?

    Can hardware encryption prevent the attack?

    Only for physical access. The attack is still possible under a running Windows because the hardware encryption is a layer below. The Stoned software will be stored encrypted by the hardware encryption and decrypted on startup, so it will still become active when starting.

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    Цитата Сообщение от Virtual Посмотреть сообщение
    ? как тогда это понимать?
    Прочитатайте тут: Stoned Bootkit Paper.

Похожие темы

  1. Восстановление данных с жесткого диска
    От Sad в разделе Софт - общий
    Ответов: 1
    Последнее сообщение: 30.12.2010, 09:02
  2. Пропало место с жесткого диска
    От Infinite в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 24.06.2010, 17:03
  3. Непонятная активность жесткого диска
    От andre1122 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 21.01.2010, 11:47
  4. Восстановление жесткого диска
    От Plusha в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 29.01.2008, 14:08
  5. Разбивка жесткого диска
    От Aleksandra в разделе Linux
    Ответов: 8
    Последнее сообщение: 31.08.2007, 22:13

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01425 seconds with 20 queries