-
bootkit
Почитал последние достижения буткитоподобных технологий и мучают такие вопросы:
1) как нужно правильно проверять/защищать MBR? (кроме AdInf и /fixmbr)
2) реально ли меняют дело альтернативные БИОСы типа SeaBIOS от coreboot или EFI?
3) насколько распространены и опасны подобные зверьки для организации под w32/64?
Спасибо.
Нас объединяет то, что разъединяет
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. ну в мбр хранится первый блок загрузчика и таблица разделов., далее управление передается бут загрузчику (бут сектор активного раздела)
соответственно достаточно проверять первый сектор МБР и бут загрузчик(и) в первых секторах каждого активного диска
Добавлено через 6 минут
2 тип биоса совсем не меняет дело, ибо пользуют прямой доступ к контроллеру жд, благо в реалмоде этому никто не мешает.
3. опасны да очень, распростронены мало, ибо:
а. железозависимы (это если общатся с ЖД напрямую, не пользуя int13 прерывание биоса - обращения к диску)
б. системазависимы, т.к. требуется патчинг ядра загружаемой системы, дабы выжить и в 32/64бит режиме.
но
в. возможен буткит, аналог виртуальной машины, вот тут кроется очень большая опасность, ибо гостевая ос может вообще никогда неузнать что она в виртуальной среде.
но таких живых буткитов, пока невстречал, в свое время были попытки развития данных направлений, да заглохло все, ибо нашлись в сто раз более простые способы .
Последний раз редактировалось Virtual; 21.11.2009 в 10:28.
Причина: Добавлено