0 Пользователей и 1 Гость просматривают эту тему.
ну храшо, предположим, на блине есть чье-то скрытое от чужих глаз нехорошее виру-тело. Каков механизм его выгрузки в исполняемую память, чтобы его не заметили антивири со своими эвристическими завихрениями? Лежит это тело в минус первой дорожке, которую не достать никакими акронисами. Когда операционная система обращается к какому-либо сектору, микропрограмма камня винта добавляет к считываемому файлу этот довесок. Но ему нужно как-то передать управление. Иначе тело не оживет.
да я за что Федя скажет....
что мешает малвари испортить загрузочную область под себя внеся туда свой загрузчик, который подгрузит своё резидентное тело, после чего позволит спокойно подгрузится штатной оси (хоть мелкие, хоть линь, хоть мак ось, хоть dos), после чо, или до этого просканировать PCI в поисках ethernet card, и спокойно отлавливать чо ему нада ? согласен это будет ооочинь грамотный вирь, но согласись stuxnet всётаки поEb@л Иранские центрифуги U238- тобишь люди то стараются и деньги находятся.если прошива испорчена, то по любасу не даст видеть что то не нужное в себе самой и в нужных кластерах. если резидент написан грамотно, то например включит трассировку, захват прерываний и исключений. грамотно переведёт обращение к памяти. ну и ныхай вирь будет скрыто весить под пару гиг - не даст себя увидеть. а виной тому изменение прошивы винтаря (если разрабы заложили такой функционал) - хвост малвари.
"Спрятанный кусок" - гипервизор, грузится в память в 0м кольце защиты, устанавливает обработчики исключений, откусывает ОЗУ под себя и т.п. Потом грузит загрузчик ОСи, при этом ни загрузчик, ни сама ОСь никогда не узнает, что работает под гипервизором (Иоанна Рутковская давно уже расписала как делать синие/красные таблЭтки).
Вот еще:Закладки в БИОСЕ:http://bulochnikov.livejournal.com/1755480.html
А как он попадает в нулевое кольцо, если процессор в это время (до загрузки ОС) работает в реальном режиме и адресные таблицы еще не сформированы? Их форомирует основная операционная система, она также инициализирует заново контроллер прерываний. Поэтому работа таких вирей (которые сегодня попадают в биос) для меня пока загадка.
...Эту статью здесь уже кто--то приводил в снесенной теме про закладки в wi-fi-утюгах.
А чем вирус отличается от ОС? Та же программа. Ничто не мешает перевести проц в защищённый режим ещё до ОСи, и сформировать для будущего соответствующую среду.
...Но в таком случае мы и получаем изолированное от основной оси адресное пространство. А если контроллер прерываний тоже инициализирует "вторая ось" (т.е. основная, которой в конечном итоге и передается управление), то как процессор сможет вообще перейти на адрес "первой" (вирусной) "оси"?. Что его заставит это сделать? Если вирь не переделает под себя модули нормальной ОС.
А не проще зловреду через SMM работать?Что-то такое в памяти вертится, правда там вирус сидел не в прошивке веника, а в биосе.
Для создания гипервизора много места не надо, и 128Кб хватит. Вот сколько, к примеру, весит резидентная часть QEMM? - а это полноценный гипервизор, дающий, к тому же несколько наборов API (DPMI, ACPI, XMS, EMS).
В БИОСе удобно располагать часть виря, который основной кусок подгружает с конца веника, опять же, там уже может висеть почти весь гипервизор.
...Но это же дос-расширители, работали в том же РРР. Им и доступно было с гулькин фиг памяти сверх 1 метра.
И ваще, если взять тот же Оракл ВБокс, в нем виртуальное железо собственное, абстрактно...
Купили материнку одного производителя с довеском в биосе, к сборке добавили ХДД другого производителя - где зловредной биосне взять нужный конец веника? Придется ограничиться собственным кодом. И что он все-таки может?Пардон муи за занудство, но покопаться в потрохах и подробностях было заделом ТС. Да и интересненько все ж...
Все АНБ поминаем всуе, а что китайцы лучше?19 февраля стало известно о программе Superfish...
...Утилита прослушивает трафик, в том числе HTTPS, подделывает SSL-сертификаты сторонних сайтов, анализирует поисковые запросы пользователя и вставляет рекламу на страницы сторонних ресурсов.