Главная категория > Компьютеры, сканеры ШК, Клавиатуры, принтеры и ПО и т.д.

парни, что там касперычи несут за firmware HDD?

<< < (4/6) > >>

drfaust:

--- Цитата: Юр от 26/02/2015 15:34:06 ---...Эту статью здесь уже кто--то приводил в снесенной теме про закладки в wi-fi-утюгах. :)

--- Конец цитаты ---
Там есть пример определения работы под гипервизором, так вот эта фишка легко гипервизором обходится. Таймер RTC слишком медленный, а отсчёт по тикам проца без проблем отслеживается гипервизором(перехват команды rdtsc) и соответственно корректируется.

Юр:

--- Цитата: drfaust от 26/02/2015 15:38:41 ---А чем вирус отличается от ОС? Та же программа. Ничто не мешает перевести проц в защищённый режим ещё до ОСи, и сформировать для будущего соответствующую среду.
--- Конец цитаты ---
Но в таком случае мы и получаем изолированное от основной оси адресное пространство. А если контроллер прерываний тоже инициализирует "вторая ось" (т.е. основная, которой в конечном итоге и передается управление), то как процессор сможет вообще перейти на адрес "первой" (вирусной) "оси"?. Что его заставит это сделать? Если вирь не переделает под себя модули нормальной ОС.

drfaust:

--- Цитата: Юр от 26/02/2015 15:43:42 ---...Но в таком случае мы и получаем изолированное от основной оси адресное пространство. А если контроллер прерываний тоже инициализирует "вторая ось" (т.е. основная, которой в конечном итоге и передается управление), то как процессор сможет вообще перейти на адрес "первой" (вирусной) "оси"?. Что его заставит это сделать? Если вирь не переделает под себя модули нормальной ОС.

--- Конец цитаты ---
Нет. Не забываем, что гипервизор в 0м кольце и имеет доступ ко всему, что есть в компе. Контроллёры DMA/PIC и пр. - это перехват прерываний. Например в ДОСе я из проги тоже могу писать/читать PIC, но DPMI-сервер легко это отслеживает и не позволяет лезть не туда(т.е. моя прога думает, что контроллер запрограммировал - корректный ответ получен, а реальная микруха ни сном ни духом)

Юр:
Попробую по-другому. Вначале стартует вирь-загрузчик-тела-виря - > загружается тело, оно переводит проц в ЗРР и формирует таблицы с дескрипторами и вновь переводит проц в РРР. После этого он передает управление первичному загрузчику штатной ОС (сислинукс, нтлодырь етц), он вроде как загружает скажем так winload.exe и далее снова переводит проц в ЗРР, наново формируются таблицы с дескрипторами и что там понаделала в памяти прежняя "ОС" (таблицы прерываний и дескрипторов) - все стирается/переписывается. Так?

Если не стирается, то почему штатная ось должна обойти эти участки памяти стороной, имея все привилегии и доступы и уверенность, что все ОЗУ в ее полном распоряжении?

CrazyPOVT:
А не проще зловреду через SMM работать?
Что-то такое в памяти вертится, правда там вирус сидел не в прошивке веника, а в биосе.

Навигация

[0] Главная страница сообщений

[#] Следующая страница

[*] Предыдущая страница