А что будет если система грузится с RAID массива? Там ведь через int 13h нифига не доступно? Этот руткит обламывается?
А что будет если система грузится с RAID массива? Там ведь через int 13h нифига не доступно? Этот руткит обламывается?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Еще как разрешает - можно из UserMode это без проблем делать ... диск открывается на посекторное чтение и вперед. Существует целое семейство зловредов, которые MBR поганят, или Boot, или просто тупо посекторно пишут мусор разный, убивая данные на диске. Но для таких фокусов естественно нужны права админа.Сообщение от [500mhz]
По всей вероятности, он туда не сможет сесть.
---
С уважением,
Borka.
А у меня несколько вопросов к Зайцев Олег.
1.В GPT диск если я преобразую будут ли такого вида малвары работать,и возможны ли boot вирусы?А также на Viste диски преобразуются в месте с О.С на которых MBR нет вообще, а есть с таблицей GUID разделов (GPT).
Источник,справка Висты:
Можно выбрать, какой стиль разделов использовать, — с основной загрузочной записью (MBR) или с таблицей GUID разделов (GPT).
Тоесть там легко прямо под операцыонной системой диск предбразуется в:
1.В GPT диск.
2.Динамический диск.
Перезагрузились и готово!
2.Надёжно ли биос зашишает MBR?
3.Возможна ли работа таково типа boot вируса на О.С.Vista 64bitAMD?
(мне кажется што если ему дать прова админестратора,в MBR залезет, но не будит работать некогда,там руткиты неработают даже с правами админестратора)
4.Когда то там обешают новую файловую систему,может както она помочь?
5.Я есть кокие нибудь апаратные средства зашиты против такой угрозы,и вообще кокие сушествуют радикальные методы борьбы с таким Boot вирусом?
Защита ядра от изменения (Kernel Patch Protection, KPP)64 bit,
Проверка целостности кода при загрузке
При загрузке операционной системы, все бинарные файлы (исполняемые файлы, драйверы и прочий программный код), используемый в процессе, проверяются на подлинность. Данная процедура гарантирует, что бинарные файлы не были изменены и система чиста. Проверка осуществляется путем сверки подписей бинарных файлов в системных каталогах. Загрузчик Vista проверяет целостность ядра, уровня аппаратных абстракций (Hardware Abstraction Layer, HAL) и загружающихся при старте системы драйверов, надежно защищая систему от встроенного вредоносного, несанкционированного или дефектного кода.(64 bit)
Рандомизация компоновки адресного пространства (Address Space Layout Randomization, ASLR)
Данная функция загружает системные файлы в случайные области памяти, затрудняя задачу вредоносного кода по определению мест расположения привилегированных системных функций. ASLR помогает предотвратить большинство атак удаленного исполнения кода, так как вредоносное ПО просто не сможет найти требуемый объект, который может располагаться по любому из 256 адресов.Microsoft не делает открытой рекламы функции защиты от вредоносных программ (удаленных атак) под названием Address Space Layout Randomization (ASLR), реализованной в x64-версиях Vista. По мнению разработчиков, ASLR практически полностью искоренит угрозу «удаленных атак» для платформ Windows. В настоящее время Windows предусматривает загрузку системных файлов с использованием одинакового смещения в памяти при загрузке системы, что позволяет хакерам внедрять код по месту, задаваемому этим смещением. В x64-версиях Vista системные файлы загружаются в случайные адреса памяти, поэтому существует лишь один шанс из 256, что текущая загрузка файлов произойдет с адреса с тем же смещением, что и при предыдущей загрузке. По мнению специалистов Microsoft, потери в производительности в результате этого изменения практически неощутимы, зато преимущества огромны. Свыше 99% всех «удаленных атак» в отношении x64-версий Vista потерпят неудачу. Конечно, время покажет, но любопытно будет наблюдать реакцию хакерского сообщества на это изменение.(64bit)
Укрепление служб (Service Hardening)
Укрепление служб предотвращает выполнение несанкционированных операций службами Windows, блокируя использование вредоносными программами системных служб для совершения своей вредоносной активности. Кроме того, службы теперь запускаются под более низкопривилегированными учетными записями, чем учетная запись системы. В терминах взаимодействия с внутренними ресурсами Windows, службам теперь необходимы права на запись в определенные системные объекты и по умолчанию Windows назначает службам доступ только к тем ресурсам, которые можно изменять. В Vista Microsoft также разрешил независимым разработчикам ПО использовать Windows Service Hardening для укрепления собственных служб с помощью указания разрешений на запись.
Изоляция приложений и ограниченный режим работы IE
Vista предотвращает взаимодействие низкопривилегированных процессов с высокопривилегированными, гарантируя, что вредоносное ПО не может захватить доверенное приложение или использовать команды межпроцессного взаимодействия для контроля активности последних. Данная функция, называемая Принудительный контроль целостности (Mandatory Integrity Control), блокирует такие операции, как перехват, внедрение DLL (внешних исполняемых компонент), а также контроль или управление активностью более полномочных приложений. Данное ограничение особенно полезно в приложении к Internet Explorer; когда IE запускается с низкими правами, он не может распространить заражение на другие области компьютера, даже будучи заражен сам.
Полное предотвращение выполнения кода (Data Execution Prevention, DEP)
DEP использует возможности современных процессоров для обозначения определенных областей памяти как содержащие биты неисполняемого кода, предотвращая таким образом исполнение хранящегося в них кода. DEP помогает предотвратить использование вредоносным кодом переполнения буфера, которое происходит когда процесс достигает границ выделенной ему памяти и пытается произвести запись в соседние области, используемые другими процессами.
Подобно XP Pro x64, x64-версии Vista поддерживают функцию предотвращения выполнения из области данных (DEP), работающую совместно с технологией защиты от исполнения (NX), встроенной в современные микропроцессоры и позволяющей предотвратить атаки с переполнением буфера. Существует два вида DEP: программно реализованный вариант DEP предусмотрен для 32-разрядных версий Vista, а аппаратно реализованный — только для платформы x64. Аппаратно реализованная функция DEP более надежна, поскольку микросхемы предотвращают загрузку исполняемого кода в память, резервируемую для данных.
x64-версии Vista будут допускать установку только драйверов, снабженных цифровой подписью (установка драйверов без цифровой подписи — норма для существующих версий Windows). Использование драйверов с цифровой подписью не повысит стабильность системы, но Microsoft совместно с изготовителями драйверов работает над улучшением их качества. Контроль цифровой подписи повысит надежность драйверов, а значит, надежность работы компьютера, поскольку плохо написанные драйверы устройств остаются основной причиной появления «синего экрана» и прочих проблем.
Контроль учетных записей пользователей (User Account Control, UAC)
Острой проблемой всех предыдущих версий Windows было то, что после входа в систему под учетной записью администратора пользователи получали неограниченный доступ к ресурсам системы и могли производить любые изменения, которые они пожелают. Это хорошо, когда это происходит под контролем и с подобающими полномочиями (например, вы не можете установить новую программу без прав администратора), но это может быть крайне опасно в случае, если вредоносное ПО активируется под учетной записью такого типа и начинает работать с правами уровня администратора. Будучи запущенной под учетной записью администратора, вредоносная программа автоматически наследует этот уровень привилегий как зарегистрированный пользователь системы, поэтому она имеет возможность скрыто устанавливать программное обеспечение, загружать драйверы, менять значения реестра, использовать доверенные приложения, производить запись в критические области системной памяти и выполнять другую несанкционированную активность. Этот недостаток часто используется хакерами и киберпреступниками, так как большинство пользователей XP назначают своим учетным записям администраторские права (это является значением по умолчанию), подвергая себя, таким образом, угрозам вредоносного ПО каждый раз при выходе в сеть.
В попытке заблокировать такое злоупотребление привилегиями, Microsoft предложила так называемый Контроль учетных записей (UAC). UAC существенно снижает права каждого приложения до максимально возможного низкого уровня (даже если пользователь вошел в систему под учетной записью администратора), исполняет программу в этом низкопривилегированном контексте и запрашивает решение пользователя, если программе необходимы какие-либо дополнительные права. Это гарантирует, что активность программы ограничена и что ее вредоносные действия эффективно сдерживаются.
К сожалению, в то время как UAC положительно влияет на способность пользователя изолировать вредоносное ПО, он оказался довольно обременительным для обычных пользователей ПК из-за большого количества отображаемых запросов. В Vista практически любая активность (даже самая простая, такая как смена хранителя экрана) вызывает окна предупреждения, требующие подтверждения авторизованного пользователя, постоянно отвлекая его от работы. Чего действительно не хватает технологии UAC, так это способности запоминать ответы на конкретные действия, не отображая повторные запросы.
Vista содержит Windows Defender, имеет постоянную зашиту HIPS.(штоб выдовались сообщения надо поставить галочки.
Зашита важных процессов О.С.
AMD Механизм усовершенствованной антивирусной защиты (EVP)* .
и прочие.....
Последний раз редактировалось Plorer; 14.01.2008 в 00:00. Причина: исправление ошибок
Для удаления rootkit с инфицированной машины просто используйте "Консоль восстановления", команда: fixmbr. То же - для профилактики. (http://www2.gmer.net/mbr/)
Так я подозреваю,што пропатчить ядро неполучится в Vista 64bitAMD,благодаря:
Защита ядра от изменения (Kernel Patch Protection, KPP),
Проверка целостности кода при загрузке
Загрузчик Vista проверяет целостность ядра, уровня аппаратных абстракций (Hardware Abstraction Layer, HAL),Рандомизация компоновки адресного пространства (Address Space Layout Randomization, ASLR)
И воще исходный код ядра Висты некто незнает он держится в секрете.
![Аватар для [500mhz]](customavatars/avatar15687_1.gif "Аватар для [500mhz]"){kind=avatar}
Зайцев
на сколько я помню в UserMode . через CreateFile (девайс, пипе, итд) в MBR не достучатся (исключая флопик и всякие флешки)
Разве BIOS не эмулирует int13h для таких массивов (на случай, если кому-то вздумается DOS загрузить)?
Сесть (т.е. перезаписать MBR) точно сможет. Вопрос в том, сможет ли он загрузить систему в таком случае.По всей вероятности, он туда не сможет сесть.
Просто ты не умеешь его готовить
У меня во время бута массив не виден. И Инсталятор Винды если драйвер не подсунуть говорит что не обнаружено ни одного диска.
А инсталятор винды, при поиске дисов, на int13 уже положил давно, в момент перехода в защищённый режим. И потому он драйвер и требует. Причём, если при запуске инсталятора подсунуть ему дискету (F6), то он читает её ещё в реальном режиме и тут прокатывают всякие usb-дисководы. А птом он просит драйвер второй раз, уже из защищённого, и usb-дисководы в пролёте.
А не наоборот? Какие usb в реальном режиме aka Дося?
---
С уважением,
Borka.
Которые BIOS эмулирует в виде псевдофлоповода, например.А не наоборот? Какие usb в реальном режиме aka Дося?
http://www.osp.ru/cw/1997/20/20655/
все новое хорошо забытое старое )))
пс
есть у меня в коллекции бинарник данный
Добавлено через 1 минуту
ппс
"для установки своей резидентной копии в память и переключения в защищенный режим процессора он использует документированный интерфейс VCPI драйвера расширенной памяти EMS (EMM386)"
немного не корректно написано )
Последний раз редактировалось [500mhz]; 21.01.2008 в 14:05. Причина: Добавлено
Не плохой руткитик!
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
I am not young enough to know everything...
Ну и ? По правилам человек просканится кюритом, а по пеару др.вэба можно судить, что они с ними справляются, посмотрим насколько =)
Текущий доктор не справляется. Только бэта, доступная только вирлабу доктора. И "пеара" про то, что релизный доктор ловит - не было.
Уже не только вирлабу, сегодня выложили на публичное бета тестирование. http://forum.drweb.com/viewtopic.php?t=7255
Если глюков явных не будет, через пару дней Imho зарелизят.
а зачем из виндов в MBR писать?, очень заметно и непрактично
проще воспользоватся специальным файлом, любезно предоставленным нам МС,
ntldr называется!!!, а еслю учесть что он всегда на С:, да еще и не контролируется самой операционкой!, да еще на С: частенько стоит ФАТ, а сама операционная система на другом разделе (ну это обычно у продвинутых пользователей)
и как вы думаете какие права потребуются для его корректировки?
ЗЫ способ уже очень давно опробован лично.
Virtual
пример в студию
Ваши права в разделе
Ответить с цитированием
