Доброго времени суток.
Насколько я понимаю - SMM у
31 Окт 2009 - 03:59 memento mori
Доброго времени суток.
Насколько я понимаю - SMM у Intel'a массово внедрен аж с i486 процев в 93м году и на год позже - перенят в AMD, повальное увлечение BIOS на Flash ROM у производителей материнок началось года эдак года с 97-98...
И как-то, зная человечество, не верится, что до сих пор (более 10 лет!) это нигде и ни кем не заюзано. Краем уха видел что Sony когда-то этим баловалась в своих системах защиты музыки, но то ли эту защиту на раз-два отломали, то ли ребята из Sony Music по шапке получили (интересно от кого?).
Из темы понятно только то, что узнать есть-ли какой-то нестандартный код в BIOS можно лишь считав его на программаторе, дизассемблировав и полностью изучив? Или все-таки вычленить оттуда код, работающий в SMM можно и попроще?
UPD
Погуглил, немного поразмыслил...
А насколько вообще реально написать этот Birus? Обычные вирусы паразитируют на функциях операционной системы, а на чем же будет паразитировать код, сидящий в изолированной области памяти? Или тут обсуждается идея написания собственной OS живущей незаметно для основной операционки? Но процессор-то один - неужели это будет настолько незаметно?
Ладно там раз в 30 секунд по таймеру дернуть за порты с датчиками температуры и скоростью оборотов вентиляторов, но в задачи вируса ведь входит намного больше - как ему получать доступ к процессам и файлам - у него же ничего нет ни адресов ни хэндлов ни списка существующих процессов и пусть даже вычислив (просканировав 2-8 гиг оперативки?) местоположение в памяти системных функций он не сможет ими воспользоваться - возврат в несуществующую область памяти невозможен.
Получается что подобный вирус может существовать лишь в двух частях - одна "супервизор" в процедуре SMM, а другая - "клиент", ввиде системного драйвера на общих правах в операционке?
"Супервизор" может глушить любые антивирусы просто разрушая их исполняемый код, адреса процессов антивирусов будет ему сдавать "клиент" скажем через порт несуществующего девайса и...
но собственно у меня больше нет идей применения "супервизора", все остальные задачи которые только могут прийти в голову "клиент" работая на уровне системного драйвера может и сам сделать...
Невидимый сниффер ? кейлоггер ? руткит (под вопросом - откуда он узнает что надо руткитить)?...
А вот грохнуть все и вся по условной серии пакетов из сети - это запросто, но это не модно.
О, кстати, о моде - идеальный спам-бот
Вот собственно я сам себе и ответил - не нужна ему ни операционка ни файлы, ни процессы - нужен только унифицироаный протокол для работы с сетевой картой - подергал в и-нете за адресок - получил список рассылки и следующий адрес за который надо будет подергать через пол-часика и сиди себе откусывай 5% CPU и траффик отжирай, остается только где хранить этот адресок за который надо подергать на случай неожиданного ребута - ну его можно и в незанятый кластер на винте записать - их там много
Доброго времени суток.
Насколько я понимаю - SMM у Intel'a массово внедрен аж с i486 процев в 93м году и на год позже - перенят в AMD, повальное увлечение BIOS на Flash ROM у производителей материнок началось года эдак года с 97-98...
И как-то, зная человечество, не верится, что до сих пор (более 10 лет!) это нигде и ни кем не заюзано. Краем уха видел что Sony когда-то этим баловалась в своих системах защиты музыки, но то ли эту защиту на раз-два отломали, то ли ребята из Sony Music по шапке получили (интересно от кого?).
Из темы понятно только то, что узнать есть-ли какой-то нестандартный код в BIOS можно лишь считав его на программаторе, дизассемблировав и полностью изучив? Или все-таки вычленить оттуда код, работающий в SMM можно и попроще?
UPD
Погуглил, немного поразмыслил...
А насколько вообще реально написать этот Birus? Обычные вирусы паразитируют на функциях операционной системы, а на чем же будет паразитировать код, сидящий в изолированной области памяти? Или тут обсуждается идея написания собственной OS живущей незаметно для основной операционки? Но процессор-то один - неужели это будет настолько незаметно?
Ладно там раз в 30 секунд по таймеру дернуть за порты с датчиками температуры и скоростью оборотов вентиляторов, но в задачи вируса ведь входит намного больше - как ему получать доступ к процессам и файлам - у него же ничего нет ни адресов ни хэндлов ни списка существующих процессов и пусть даже вычислив (просканировав 2-8 гиг оперативки?) местоположение в памяти системных функций он не сможет ими воспользоваться - возврат в несуществующую область памяти невозможен.
Получается что подобный вирус может существовать лишь в двух частях - одна "супервизор" в процедуре SMM, а другая - "клиент", ввиде системного драйвера на общих правах в операционке?
"Супервизор" может глушить любые антивирусы просто разрушая их исполняемый код, адреса процессов антивирусов будет ему сдавать "клиент" скажем через порт несуществующего девайса и...
но собственно у меня больше нет идей применения "супервизора", все остальные задачи которые только могут прийти в голову "клиент" работая на уровне системного драйвера может и сам сделать...
Невидимый сниффер ? кейлоггер ? руткит (под вопросом - откуда он узнает что надо руткитить)?...
А вот грохнуть все и вся по условной серии пакетов из сети - это запросто, но это не модно.
О, кстати, о моде - идеальный спам-бот
Вот собственно я сам себе и ответил - не нужна ему ни операционка ни файлы, ни процессы - нужен только унифицироаный протокол для работы с сетевой картой - подергал в и-нете за адресок - получил список рассылки и следующий адрес за который надо будет подергать через пол-часика и сиди себе откусывай 5% CPU и траффик отжирай, остается только где хранить этот адресок за который надо подергать на случай неожиданного ребута - ну его можно и в незанятый кластер на винте записать - их там много