Главная категория > Компьютеры, сканеры ШК, Клавиатуры, принтеры и ПО и т.д.

парни, что там касперычи несут за firmware HDD?

<< < (2/6) > >>

Юр:
ну храшо, предположим, на блине есть чье-то скрытое от чужих глаз нехорошее виру-тело. Каков механизм его выгрузки в исполняемую память, чтобы его не заметили антивири со своими эвристическими завихрениями? Лежит это тело в минус первой дорожке, которую не достать никакими  акронисами. Когда операционная система обращается к какому-либо сектору, микропрограмма камня винта добавляет к считываемому файлу этот довесок. Но ему нужно как-то передать управление. Иначе тело не оживет.

tridentxp:

--- Цитата: Юр от 26/02/2015 01:27:02 ---ну храшо, предположим, на блине есть чье-то скрытое от чужих глаз нехорошее виру-тело. Каков механизм его выгрузки в исполняемую память, чтобы его не заметили антивири со своими эвристическими завихрениями? Лежит это тело в минус первой дорожке, которую не достать никакими  акронисами. Когда операционная система обращается к какому-либо сектору, микропрограмма камня винта добавляет к считываемому файлу этот довесок. Но ему нужно как-то передать управление. Иначе тело не оживет.

--- Конец цитаты ---
что мешает малвари испортить загрузочную область под себя внеся туда свой загрузчик, который подгрузит своё резидентное тело, после чего позволит спокойно подгрузится штатной оси (хоть мелкие, хоть линь, хоть мак ось, хоть dos), после чо, или до этого просканировать PCI в поисках ethernet card, и спокойно отлавливать чо ему нада ? согласен это будет ооочинь грамотный вирь, но согласись stuxnet всётаки атаковал Иранские центрифуги U238- тобишь люди то стараются и деньги находятся.
если прошива испорчена, то по любасу не даст видеть что то не нужное в себе самой и в нужных кластерах. если резидент написан грамотно, то например включит трассировку, захват прерываний и исключений. грамотно переведёт обращение к памяти. ну и ныхай вирь будет скрыто весить под пару гиг - не даст себя увидеть. а виной тому изменение прошивы винтаря (если разрабы заложили такой функционал) - хвост малвари.

drfaust:

--- Цитата: tridentxp от 26/02/2015 01:09:16 ---да я за что Федя скажет....

--- Конец цитаты ---
Паранойя. Ну накорябали под парочку контроллёров прошивок и толку? Работать будут только под теми HDD, для которых написаны, сменится даже ревизия фирмвари - и подобный вирусок пойдёт лесом. Сам Касперыч говорил, что разработка подобной хрени займёт несколько человеко-месяцев и работать будет только на конкретной модели веника.


Ситуация проста - подобная весЧь уникальна и может использоваться/разрабатываться только для целенаправленной атаки на конкретный комп(опять же надо знать какие веники с какими прошивами там работают). Нечто похожее и в мире линухов - вирусописакам лень писать под 100500 ядер/core-utils.
 Заразить репы бубунты трояном - пожалуйста(бывало такое), а написать что-то вроде "Чернобыля", да так, что бы вручную патченные ядра уложить - хрен вам.(под винду до 8ок я насчитывал около 7 версий kernel.exe(32 и 64 тоже считал), и там уже можно кусок вируса разработать "универсальным").


В блоге касперыча больше про то, какие "крутые кулхацкеры" там работают - прошиву веника модифицируют со злостными намерияниями... (Чёт в памяти всплыли прошивочки Ф-времён, позволяющих половинить выручку на кассах - наверное их тоже АНБ создала).

Юр:

--- Цитата: tridentxp от 26/02/2015 01:59:26 ---что мешает малвари испортить загрузочную область под себя внеся туда свой загрузчик, который подгрузит своё резидентное тело, после чего позволит спокойно подгрузится штатной оси (хоть мелкие, хоть линь, хоть мак ось, хоть dos), после чо, или до этого просканировать PCI в поисках ethernet card, и спокойно отлавливать чо ему нада ? согласен это будет ооочинь грамотный вирь, но согласись stuxnet всётаки поEb@л Иранские центрифуги U238- тобишь люди то стараются и деньги находятся.
если прошива испорчена, то по любасу не даст видеть что то не нужное в себе самой и в нужных кластерах. если резидент написан грамотно, то например включит трассировку, захват прерываний и исключений. грамотно переведёт обращение к памяти. ну и ныхай вирь будет скрыто весить под пару гиг - не даст себя увидеть. а виной тому изменение прошивы винтаря (если разрабы заложили такой функционал) - хвост малвари.

--- Конец цитаты ---
Да, это очень сложно сделать, потому что это тянет на половину полноценной операционной системы. Одно то, что этой твари нужна оперативная память, чтобы что-то натворить, при достаточном кол-ве мегабайто-гигабайт, требует механизма страничной адресации и подкачки. А чтобы достучаться куда-то вовне через сеть, тело должно содержать драйверы сетевых адаптеров.
Если вирус грузится так, как ты описал, то получаются два изолированных друг от друга адресных пространства, и для доступа к ресурсам компьютера  они должны как-то переключаться между собой. По прерыванию это можно сделать, но все равно очень сложная и громоздкая конструкция на мой дилетантский взгляд получается, тем более, чтобы ее не расчухал кто-то любопытный  или профессионал. А если требуется считывать винчестеры, то это можно достаточно легко отследить по сетевой активности. Типичный админ на простом предприятии не заморачивается слежением за тем, куда ломится его хост, а вот на режимных - просто обязаны, тем более, что трафик обычно проходит через отдельный сервер-роутер. Поэтому вся эта затея достаточно быстро себя обнаружит, и будет большой скандал с катастрофическими репутационными потерями производителя.
Лично мне так представляется.

drfaust:
ЮР, слишком мрачно обрисовал. Несколько попроще:
Задача модифицированной прошивы - откусить с десяток метров от веника и скрыть их, при обращении к 0-сектору распознать MBR/GPT, вычислить где загрузчик ОС, загрузить "спрятанный кусок" и передать ему управление.


"Спрятанный кусок" - гипервизор, грузится в память в 0м кольце защиты, устанавливает обработчики исключений, откусывает ОЗУ под себя и т.п. Потом грузит загрузчик ОСи, при этом ни загрузчик, ни сама ОСь никогда не узнает, что работает под гипервизором (Иоанна Рутковская давно уже расписала как делать синие/красные таблЭтки). При этом гипервизору не надо знать о сетевухах, видюхах и пр., он может пользоваться услугами самой ОС, и задачи перед ним будут мелкие(перехват паролей, и отсылка их легальными средствами в конторе, например корпоративной почтой через оутглюк).

Навигация

[0] Главная страница сообщений

[#] Следующая страница

[*] Предыдущая страница

Произошла ошибка благодарности
Думаю...
Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
Перейти к полной версии