Последняя обзорная статья из цикла о бирусах, рассматривающая в общем (возможные) методы их работы.
Вариант 1, классический.
Рассмотрим структурно один из вариантов работы бируса.
1. Получение управления в OS.
2. Считывание текущего BIOS.
3. Добавление в BIOS своего кода.
4. Прошивка BIOS.
1. Получение управления в OS.
Вариантов - множество, все они отражают вирусную сущность бируса. Важным отличием является лишь требования на наличие возможности работы в Ring 0, чтобы осуществить прошивку. Как один из вариантов – изменение MBR и прошивка при (точней – перед) последующей загрузке Windows.
2. Считывание текущего BIOS.
Считывание (как и прошивка) BIOS – удел прошивальщика. Основной проблемой в этом деле является сильная зависимость процедур чтения-прошивки от железа – как чипсета (мосты + мультик) материнской платы, так и от Flash-микросхемы (её типа/производителя/модели).
Однако те, кто думают, что эта сложность перетекает в «нереальность» существования «универсального» прошивальщика (или относительно универсального – поддерживающего какой-то достаточно большой процент систем) ошибаются, потому как не учитывают, что это такая же проблема и для самих BIOS-описателей. Ведь при отработке BIOS POST происходит запись конфигурационных данных в саму Flash-микросхему, что суть – прошивка. Т.е. сам BIOS должен уметь её прошивать. А значит – он имеет процедуры по её прошивке внутри своего кода. Как минимум, для того, чтобы облегчить жизнь «официальным» прошивальщикам BIOS предоставляет стандартный интерфейс по «размапливанию-замапливанию» чипсета – процедур, принципиально необходимых для того, чтобы прошивальщик мог «добраться» до содержимого Flash-микросхемы. А уже процесс прошивки, определив тип установленной микросхемы, прошивальщик берёт на себя.
С учётом конечного количества микросхем, используемых на материнских платах и схожестью алгоритмов их работы, осуществить поддержку большинства их работы – не составляет особого труда. Например, awdflash последних версий поддерживает порядка полутора сотен микросхем, занимая при этом (со всем другим необязательным функционалом) всего порядка 60Кбайт в непожатом виде (в два раза меньше при упаковке стандартными алгоритмами, используемых для модулей BIOS).
3. Добавление в BIOS своего кода.
Интеграцию в BIOS своей составляющей бирус может осуществить разными путями. Это может быть как использование отдельных модулей, где будет храниться код бируса, так и внедрение в имеющиеся (или комбинацию обоих методов).
Первый получится «более грамотным», т.к. упрощается весь процесс – обычно нужно лишь дописать код нужного модуля и исправить контрольные суммы. Однако при этом он будет «более заметен» в забирусованной прошивке (хотя её ещё нужно будет считать)...
Второй – более сложен в реализации и может иметь дополнительные ограничения по объёму добавляемого кода.
Третий вариант наиболее действенный – патч одного из модулей для получения управления (в процессе BIOS POST), а основной код бируса добавляется под видом другого какого-то «безобидного», например, картинки, шрифтов и пр.
Этот процесс – универсальное внедрение в BIOS - второй из пунктов, который вызывает наибольшее недоверие у неосведомлённых специалистов. Однако в данном случае есть серьёзный довод для доказательства сказанного – программа BIOS Patcher, которая с 2002-го года благополучно работает на подавляющем большинстве Award BIOS (а в версии 6.х – и с AMI). Она использует одну из уязвимостей всех BIOS, построенных по модульному принципу и её главной чертой есть то, что патчер _не изменяет никаких_ модулей BIOS, лишь добавляя свои стандартными средствами. Это даёт максимальный универсализм и надёжность. Патчер давно не поддерживается мной (с 2004-го года), однако при этом до сих пор работоспособен на самых новых материнских платах с Award BIOS на борту. Используемая патчером уязвимость (позволяющая добавлять код без патча модулей) есть и в Phoenix BIOS, а это уже, как минимум, порядка 75% всех систем. Подчеркну, это уязвимость, позволяющая проделать «чистую» работу в плане интеграции в BIOS. Если же отбросить подобные требования и действовать «грубо» - можно заразить практически любой BIOS, структура и алгоритмы распаковки-упаковки которого известны. А это, как несложно догадаться – большинство всех BIOS.
4. Прошивка BIOS.
Прошивка аналогична считыванию в нашем контексте, об этом уже было выше написано. Лишь стоит добавить, что по времени она обычно есть более длительный процесс (по сравнению со считыванием) и в зависимости от типа и объёма занимает от нескольких десятков секунд до нескольких минут.
Вариант 2, предустановленный бирус.
Другой вариант, когда бирус изначально находится в прошивке.
1. Пользователь скачивает BIOS с бирусом внутри.
2. Сам прошивает такой забирусованный BIOS.
У многих пользователей из-за многочисленных поправок, постоянно вносимых в современные BIOS, выработалась привычка обновлять всё, что обновляется. Это запросто может стать предметом атаки.
Первое, что приходит на ум, это может быть взлом официальных сайтов производителей материнских плат и выкладывание на них забирусованных прошивок вместо оригинальных. Однако технически осуществить взлом крупных сайтов производителей непросто, т.к. это как правило корпоративные серверы с серьёзными мерами по защите своих ресурсов.
Потому скорей можно предположить другие методы атаки, например, как подвид фишинга – создаётся псевдо-официальный сайт типа gigabyte-bios-download.com, где выкладываются забирусованные прошивки. Минимальные SEO-телодвижения по раскрутке такого адреса и пользователи потянутся на сайт, самостоятельно прошивая в результате себе заразу в BIOS.
п.с. Как подвид второго варианта – бирус в изначально новом компьютере. Но это уже совсем другая история…
Прочитал 3 статьи и стало грусно А потом в Инете нашел интересную статью об альтернативе BIOS прочитать можно здесь computerra.ru/terralab/platform/440083/
Ivan IvanovichЦитата:
Название первого же рисунка в статье добило окончательно и бесповоротно :
Для них же на плате написали - Flash.
Аффтар жжот!!!
Т.е. теоретически в БИОСе может быть и обновление микрокодов, но как-то до поры до времени без этого обходились, да и сейчас не все этим пользуются, и работает, что характерно.
Читать после этого статью побоялся - время уже к полуночи, а мой безумный ржачь может разбудить соседей, опять же пивом можно поперхнуться...
Правда, подозреваю, что говоря про две микросхемы выше помянутый аффтар ни сном ни духом не имел ввиду древние 286 в которых БИОС действительно занимал две 4 битные ОТП-шки, а наоборот демонстрировал знакомство с Гигобайтовским ДуалБИОСом
2 ivp Илья, отметься в теме, plz
Твой таглайн, в контексте первого сообщения будет очень уместен!
За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.
Легко, хоть два раза!
А статья (не г-на Осколкова, есно, а Романа) действительно получилась хороша и по делу - мы с ним, помнится, еще года два назад обсуждали эту тему, и уже тогда были у него и мысли, и наброски, только в тот момент вопрос по ряду причин, увы, развития не получил.
Аффтар, пеши исчо!!!
- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..
Определить тип флеши достаточно просто, так как идентификатор жёстко прошит в неё типа Vendor ID Device ID.
Процедура работы с SPI запросто может работать через драйвер чипсета, точно так-же как и работа с SMBUS.
Я уже как-то писал, про вирусы для вывода из строя железа, когда вирус получает управление питанием камня и клокером....при том, что производителей чипсетов становится меньше, а процедуры управления частотой и напряжением для энергосбережения унифицируются.....
Можно представить себе в ближайшем будущем войны ботнетов
Думаю, что ещё долго буду жить на своих туалатинах
Либо нечему гореть, либо нечем поджечь!
Сегодня поднимали систему на новом банкомате. Когда копался в настройках BIOS, вспомнил эту статью и меня передернуло: на NCR стоят присловутые Phoenix BIOS. Цепочка дальнейших мыслей, думаю, ясна всем.
Intel, EFI, SMM, Virus, Ахтунг
Intel+Microsoft=All Must Die
короче-всё совсем плохо, ...новость
не самая свежая, но руки опускаются. Винда и Пентиум-два инвалида, юзеру с ними жить спокойно не судьба
ещё на ту же тему...
Ушел вскрывать процы...
а сколько серваков продано на этих платформах...- страшно подумать.
Профессиональный ремонт ноутбуков в Мурманске- notebook51.ru
Rom.by, что в имени тебе моем..?
Хочется определенности.
С того момента, когда обновление Биос сделали через веб, многие задумались: А нахрена если все можно было делать как раньше? Нет же крепанные маркетологи гнули свое - а нам штап юзеру было прощще, а то у вас с дискетами ничего не понятно, да и дискеты скоро помрут... Нет маркетологи - зло это знают все. но ктобы мог додуматься, что все будет настолько хреново... Хотя, некоторые начинали ломать голову уже давно, да и для других целей ***, но теоретическая возможность обнавления Биоса онлайн, со "своими" целями, была... Смущает еще вот что - вроде инфа прошла уже давно, показательные выступления тоже были давно, а где отклик авторитетных ресурсов? Секьюр Фокус, бог с ним, касперский, например? Все втихую молчат, может ждут пока им что-то поймается? А ловят ли?... Или на это просто закрывают глаза... А может не умеют? Ведь микрокод, гр-р-р-ррррр, как написано, может быть полностью невидимым для самого компа, теоретически... В некоторых статьях, кстати, вирьмейкеры так прям и делятся советом: "за вирус когда берутся в серьез? Когда он начинает создавать проблемы, мешать работе, грузить канал, вот тогда админ (поправка, хороший админ) и начинает копать, а когда он не заметен..." то до живности всякой ессно нет никому дела! Вот, взять ваш Антибирус, кстати, он то как будет Бируса отлавливать, если тот невидим и никому не мешает? И когда его доделают? Кстати, многие догадываются, что антивирусы и наверняка антибирусы - не панацея, но это хотя бы что-то чем ничего... А может теперь дома должен быть обязательно программатор?...
А вообще, хотелось бы конкретики... ваш пример, "вживую", со скринами... Если нет желания выкладывать некий код в паблик (в чем я хорошо понимаю автора, т.к. скрипт киддисы и прочие "криворучки" не спят, а они основная масса зла, которое появляется в результате обнародования инфы от хакеров и экспертов по безопасности), то хотелось бы хотябы теоретические рассуждения как вычислить и с помощью чего можно (если возможно) ОБЕЗВРЕДИТЬ "вредителя"... А то перспектива какая-то уж безрадостная...
А вот на счет эпидемии... немного сомневаюсь, слишком много производителей, разное железо, нет единых стандартов Биос, и после этого можно легко назаражть многие машины? А косячки в виде заломанных шрифтов в Биосе, а помершие компы, у которых что-то не так прописалось, после небольшого сбоя? Я согласен, что у талантливых программеров Бирус есть на вооружении, но работают они с ним, наверняка, поштучно, как со скальпелем, например машинка в банке, комп админа, теоретически свич... Кто-то добавит - А комп у девушки или Босса? Так ведь талант и так напишет код, про который никто и не догадается (без прошивки железа) Но эпидемия... слишком чревато, мне кажется аккуратные они, у кого грамотная башка... так стоит ли вмешиватся в область, которая работает с железом?
Конечно автору большой респект, благодоря этой теме многие начали задумыватся о безопасности, (до сих пор же огроменная дыра в Эксплорере болтается, а мелкомягкие чуть ни не официально разводят руками - ничего поделать не можем), хотя раньше и не особо заморачивались по этому вопросу, но если уж выкладывать такую тему в паблик, то нужно обязательно как-то ее развивать, сделать ветку в форуме отдельную, может с кем-то консультироваться... Кстати, было бы не плохо, если бы у Rom.by была "своя ниша" по информационной безопасности, а что если автору самому порыть в направлении вирусмейкерства, посоздавать код, потестить его, рассказать как этому противодействовать ?... Конечно, прошу прощения за наглость, но, просто привык уже... "уязвимость такая-то, приводит к тому-то, работает в таком-то ПО, а в таких то версиях не работает..." а здесь... "он м.б. не видимым, а как его схватить - сложно сказать..." Как то "сыровато" для rom.by... Хочется определеннсти. Правда и речь не о ПО, но все-таки...
Разговор с подушкой, т.е. почтибессознательноебормотанье перед сном:
- Ну хорошо, хорошо, вот этот бирус - невидим, вот зомби машина рассылает зло код и этим бирусом заражаются все новые и новые машины, но стоп, а смысл то есть? Нет смысл конечно должен быть конечно, но я его не понимаю... Так вот смысл то есть? Ок, смотрим 1 машину, она заражена бирусом, при каждом включении компа бирус запускается раньше оси отправляет комманду в какую-то область памяти, там эта область шифруется (ну как вариант), и потом ни винда, ни ни линуха. никто другой ее не видит, ага... Значит постоянно одна и та же, операция выполняется, а бирус остается невидимым, т.е. его нельзя достать ничем...
- Ну да нельзя, он же невидим, как уж тут его достанешь
- Или как "невидим"... "Невидим" так чтоб все невидили или "невидим" только для большей части, а для хакерских нужд или программки он видим и, теоретически, управляется...
- стоп-стоп-стоп, значит он все-таки "не невидимый", а для кого-то очень даже видимый...
- ндааа, т.е. уже считай его моно за хвост поймать (теоретически), ну хорошо, хорошо... Теперь другой вариант: пусть уж этот бирус действительно невидимый полностью для всех, т.е. один раз запустили и все - он сидит в Биос, тогда получается, что тысячи машин при загрузке выполняют одно и тоже действие в течении, ну хорошо полгода... а что если вот вдруг Вася из тамбова как нить просекает все это, он, ну хорошо, начинающий админ-программер вычисляет в начале на 1, а потом и на всех 5 своих (разных) машинах 1 и тоже действие, турум, определает его, ну взял и стукнул кому-надо
- кому стукнул то? Касперскому или мелкомягким?
- ну вряд ли мелкомягким, пусть касперскому, а они ба-бах, через ннное количество времени выпускают заплатку (теоретически) хитрую... (ну или сам Вася пишет эту заплатку и отдает друзьям)
- ну хорошо
- и она лочит этот адрес в памяти с невидимым кодом или еще чтонить делает, тоже хитрое, ну чтоб этот злокод из памяти, который создает бирус ничего больше не мог делать, ну как-то так...
- а что с Бирусом?
- А ничего, он же невидим, он так же тупо, отправляет свою команду в некоторую область памяти, только теперь это бесполезно...
- И что тогда, тогда дейстительно эти все зомби машин превращаются в простых уже "не зомби" болванов?... С перевспоротым биосом?
- Ну да, Ведь если так или иначе вычисляют действие бируса, то можно придумать ему некое противодействие...
- Хм, тогда труды хакеров не так радужны...
- Этож прям получается, как если бы военные беспилотник б запустили по одному и тому же маршруту, он типа невидимый, неуправляемый и может стрелять только по одной мишени, ну я грубо сравнил, дык можно ж мишень передвинуть...
- Нууу, не знаю...
- Хотя, они могут тогда еще раз сделать невидимого бируса, теперь другого
- и что тоже в биос будет шится?
- ну да только в другом месте... или в том же...
- И что, опять невидимый? А Биос выдержит?
- Не знаю ты его спроси, вообще спать уж пора, а компы эти, ну без инета они конечно супер... а с сетью эт ох, хррр. хм, хм, хм...
Хотел поставить плюса уже только за объём комментария, но гостям это не получится, понятно.
Вообще, тема никуда не делась и не умерла. Лето и уже осенняя сверхзанятость отложила продолжение рассказов о бирусах, где уже будет больше конкретики, кода, скринов и видео, в противоположность общетеоретических из-/раз-(выбрать по желанию)мышлений до этого.
Плюс за многабукафф поставил. Главное - что по делу.
Касательно проблемы - она существует. Но подчеркну очень важные, на мой взгляд вещи, которые могут быть для кого-то не очень очевидными:
- сейчас все движется по пути унификации. Тот же EFI взять. Простой вопрос - сколько производителей и типов БИОСов (рапространненых) можете перечислить? /чисто на 'подумать'/ Разных программных платформ тоже не очень много (Windows/Linux + типы ФС)...
- написание 'вредоносного' или не очень кода - это БИЗНЕС. В том плане, что имея сеть зараженных машин можно делать много вещей: рассылать спам ($$$), устраивать (D)DoS-атаки ($$$), красть конфиденциальную информацию ($$$$$$$) и пр. пр. Вполне возможно вплоть до выведения из строя компьютеров, участвующих в инфраструктуре силовых ведомств (а это может иметь долгоиграющие последствия).
- тот человек, который на текущий момент времени сможет написать такую байду, сможет поиметь конечный компьютер в любом случае... Если этот компьютер будет ему интересен. Это вопрос квалификации... Ну, представьте себе ситуацию - компьютер за файрволлом, сетевые службы по максимуму отключены, открытых портов нет. Возможно ли атаковать такой ПК /в теории/? Ответ - да. Но с практической точки зрения трудоемкость высока (ага.... попробуйте использовать уязвимости в обработке протоколов TCP/IP)...
Аццкий ромбовод {:€
Я пока не волшебник - я только учусь! :-P
вот интересную доку... нарыл
утилиту SMIOFF как я понимаю-можно ипользовать для восстановления забирусённого биоса?
или... что может помешать просто заклеить ногу SMI процессора на момент прошивки нового биоса?
(на днях попробую)
На счет малого количества производителей Биос - я согласен, я просто выразил сомнения что на данный момент массовое заражение машин маловероятно, все таки стандарты не унифицированы, а злокод требует детальной обкатки на разном железе, пусть даже только на мелкософтских машинах.
По поводу компьютера за фаерволлом... А кто может спокойно плавать в сети? Остановимся только на мелкомягких, фаер и отключенные службы - не такая уж и большая проблема. Уязвимости в стеке TCP/IP существуют, а так же давно уже есть разные варианты атак на эту тему, (скромно промолчим про IPv6 по поводу перехода на который многие админы давно ругались публично), имхо только фаер (грамотно настроенный) + антивирь + Под гостем + миним. сет. службы + сторонний браузер и только из-за обнавлений - лицензонная ОС... А вот с Юниксами, там да, злокоду не так удобно, но простите, а руткиты в Винду переселились откуда? Из *nix ов, если я ничего не путаю... Так что спокойно себя более менее могут чувстовать обладатели "экзотических" ОСей, типа BeOS или что-то в этом роде, потому что их не более 1% и интереса они не представляют. Но все это ПО, а вот осознание того, что в железо может прописаться Бирусик, причем чувствовать себя комфортно в суровых условиях - это неприятно... Да и байдой это как то назвать сложно...
К чему я заговорил:
Вашему ресурсу, как никому, известно ОЧЕНЬ много о железе, и о Биосе в частности, но как любой настоящий инженер-железячник как правило не особо интересуется софтовыми проблемами или программированием (ему, млин, просто не дотого) так и создание злокода для Биос - это новая по всем параметрам тема, которую надо изучать, и не столько заражение Биос, сколько, для начала, по технике атаки, разновидностям, реализациям для того же Биос... это достаточно большой пласт информации, вот я к чему... легче все это оставить в стороне (так поступают 95% всего сетенаселения - и логика проста, ну я ж не банк, чего меня-то ломать...) Нет, я не сомневаюсь, что у вас тема будет достаточно рассмотрена, хотя бы ради спортивного интереса, я лишь думаю какое время на это уйдет... Ведь проблема с Бирусом в реализации и косяках: здесь нужен нехилый опыт в написании кода, знание где, для чего и какой язык лучше юзать...
Еще раз, развитие темы в узко-специальном направлении (атака на железо или Биос) было бы очень хорошим вариантом для сайта... а уж если потихоньку Rom.by удасться реализовать пару примеров или отыскать Бирус, показать противодействие (если возможно), то глядишь (сейчас скажет глупость - прим. авт.) и шум поднимут большие ресурсы може «Доктор Веб» или «Лаборатория Касперского» подтянутся, а за ними, ну мооооожет быть и производители начнуть икать... Вот я к чему...
P.S. А мамки с джамперами на запись Биос вроде до сих пор печатают, точно не скажу (AsRock или Chaintech) но на 775 сокет, в руках держал... (пол года назад)
Идея по внедрению кода в БИОС неплоха, но есть кое-что более интересное и эффективное для нанесения физического вреда компу. Достаточно почитать спецификацию ATAPI 6,7, а именно главы про Master и User пароли харда. При желании с уровнем Maximum Sequrity. Пользователь очень удивится, если после очередного перезапуска компа и исполнения "поправленого" MBR винт откажется в дальнейшем даже форматироваться. А снятие пароля с винта это очень непросто
2 Гвест
с биосом в PLCC там перемычка только бут блок защищает от записи, а SMI HANDLER заражается в лёгкую
а установка самодельной перемычки на WP приводит к проблеме ESCD update failed
в биосах SPI перемычка действует только на три бита защиты от записи, которые надо сначала установить софтово
производители в своих флашерах этого делать не удосуживаются-вывод
нужна отдельная благонадежная утилита с открытым кодом для установки этих битов, и только потом
можно лепить джампер. про ESCD в этом варианте-не проверял пока
Или переходить на coreboot
Либо нечему гореть, либо нечем поджечь!
Привет!
Вот конкретная проблема:
машина при запуске выдаёт следующее:
pic.ipicture.ru/uploads/090922/ODj8iJfHsO.jpg
pic.ipicture.ru/uploads/090922/WZZvjqqo2p.jpg
pic.ipicture.ru/uploads/090922/wmkVax6uXB.jpg
Мать P5GZ-MX на Intel Lakeport i945G/P
BIOS AMI(11/30/06) версия 0601
Винда грузится только в safe режиме, сканирование на вирусы результата не даёт.
Может, подскажите, как эту беду убить?
Дык это батенька у Вас не Birus - у Вас видеокарточка приказала долго жить - в ремонт её надобноть....
Кто хочет - ищет способ
Кто не хочет - ищет причину (с)
Ну то что ЦРУ нас имеет в кчестве клиентов давно не для кого не секрет. Различие в различных аппаратных наборах не так важно если этот кусок железа может отозваться и представится. а у дяди в ДиСи есть заранее заготовленный набор который и предоставляется ему производителем. Я имею ввиду не конечным сборщиком а разработчиком БИОС для данного устройства. Это в МО называют программная закладка, только по скудоумию своему так и не могут описать что же это такое и где оно может быть конкретно. Как не всегда представляют себе все возможные варианты реализации. То что вы тут нарыли это просто последствия "пытливой созерцательности". Не для вас этот функционал закладывался. А расширение его, как то увеличение объема памяти, обновление через интернет и прочее это всего лишь следствие стремления к снижению оборонных расходов и упрощения системы дистанционного управления. И кстати про АМД. То в моей памяти всплывают загадочные слова система двоичной компиляции, скрытый оптимизирующий двоичный транслятор и нативный режим. Наверно это бред - доктор ? А где мои таблеточки .... где же мои таблеточки
Галоперидол внутримышечно, 5 мг
А можете объяснить как бирус будет прописан в биос? Вот я зашёл на сайт и как браузер прошьёт биос? Начинает попахивать Крисом Касперски и прочим "Хакером", к великому сожалению.
Наполеономхозяином положения и догрузить необходимый код и передать ему управление, например.Затем этот код обеспечивает считывание BIOS, внедрение бируса в BIOS, прошивку BIOS.
А там сверху не объяснили? А у Касперски есть свои закидоны, но записывать его в "АБСОЛЮТНЫЕ дураки" (как и журнал "Ксакеп") я бы не стал.
А кому счас легко...
Видать miXel не видел компьютеры-зомби бухов, которые бывают битком набиты всякими руткитами/троянами неразмножающимися - при том, что бухи максимум в инете странички смотрели, да и антивирь стоял... О компах дрочеров, юзающих ИЕ - помолчу... Для оперы/файрфокса - это менее актуально, но все же дыры и там случаются.
Уважаемые коллеги, в переписке с нашими англоязычными партнерами помните: whether - который, weather - погода, wether - кастрированый баран!
У некоторых людей торс - это просто разветвитель, позволяющий подключить руки и голову к заднице.
Доброго времени суток.
Насколько я понимаю - SMM у Intel'a массово внедрен аж с i486 процев в 93м году и на год позже - перенят в AMD, повальное увлечение BIOS на Flash ROM у производителей материнок началось года эдак года с 97-98...
И как-то, зная человечество, не верится, что до сих пор (более 10 лет!) это нигде и ни кем не заюзано. Краем уха видел что Sony когда-то этим баловалась в своих системах защиты музыки, но то ли эту защиту на раз-два отломали, то ли ребята из Sony Music по шапке получили (интересно от кого?).
Из темы понятно только то, что узнать есть-ли какой-то нестандартный код в BIOS можно лишь считав его на программаторе, дизассемблировав и полностью изучив? Или все-таки вычленить оттуда код, работающий в SMM можно и попроще?
UPD
Погуглил, немного поразмыслил...
А насколько вообще реально написать этот Birus? Обычные вирусы паразитируют на функциях операционной системы, а на чем же будет паразитировать код, сидящий в изолированной области памяти? Или тут обсуждается идея написания собственной OS живущей незаметно для основной операционки? Но процессор-то один - неужели это будет настолько незаметно?
Ладно там раз в 30 секунд по таймеру дернуть за порты с датчиками температуры и скоростью оборотов вентиляторов, но в задачи вируса ведь входит намного больше - как ему получать доступ к процессам и файлам - у него же ничего нет ни адресов ни хэндлов ни списка существующих процессов и пусть даже вычислив (просканировав 2-8 гиг оперативки?) местоположение в памяти системных функций он не сможет ими воспользоваться - возврат в несуществующую область памяти невозможен.
Получается что подобный вирус может существовать лишь в двух частях - одна "супервизор" в процедуре SMM, а другая - "клиент", ввиде системного драйвера на общих правах в операционке?
"Супервизор" может глушить любые антивирусы просто разрушая их исполняемый код, адреса процессов антивирусов будет ему сдавать "клиент" скажем через порт несуществующего девайса и...
но собственно у меня больше нет идей применения "супервизора", все остальные задачи которые только могут прийти в голову "клиент" работая на уровне системного драйвера может и сам сделать...
Невидимый сниффер ? кейлоггер ? руткит (под вопросом - откуда он узнает что надо руткитить)?...
А вот грохнуть все и вся по условной серии пакетов из сети - это запросто, но это не модно.
О, кстати, о моде - идеальный спам-бот
Вот собственно я сам себе и ответил - не нужна ему ни операционка ни файлы, ни процессы - нужен только унифицироаный протокол для работы с сетевой картой - подергал в и-нете за адресок - получил список рассылки и следующий адрес за который надо будет подергать через пол-часика и сиди себе откусывай 5% CPU и траффик отжирай, остается только где хранить этот адресок за который надо подергать на случай неожиданного ребута - ну его можно и в незанятый кластер на винте записать - их там много
Автор оставил лаз для вредоносного ПО, состоящий из загрузки уже завирусованого BIOS или заражения в процессе записи корректной версии т.е. внесение с помощью флешера (хотя эта возможность по-прежнему ограничена антивирусниками).
Открытая книга: icbook.com.ua
И главное: спам — это немодно! Модно переслать все скан-коды, введенные с клавиатуры. Чтобы на далеких островах не торопясь разобраться, сколько у кого денег и где именно они лежат : - )
Открытая книга: icbook.com.ua
Вопрос не праздный и имеет право на существование. Хотя бы потому, что мыслить категориями ОС для распространения firmware-вирусов не вполне правильно. Хотя бы потому, что существует совсем нетривиальный заслон из анти-вирусных программ.
Антивирусы тут врятли помогут, они не всесильны, из моей практики - обычное дело отловить заразу руками и 1 - 3 дня любоваться на то, как антивирусы считают ее нормальным софтом, при этом плановое обновление баз у них идет каждые 3 часа. (для конкретики - NOD32 и AVP (KAV), при этом как ни странно NOD по оперативности выигрывает чаще, опережая "касперыча" часов на 6-8), вдобавок есть немало хитроумных способов обойти антивирус (NOD32 по этому поводу хромает на обе ноги)
И главное: спам — это немодно! Модно переслать все скан-коды, введенные с клавиатуры. Чтобы на далеких островах не торопясь разобраться, сколько у кого денег и где именно они лежат : - )
А у кого-то череп на осторвах не треснет?
Антивирусы тут врятли помогут — не аргумент.
А у кого-то череп на осторвах не треснет? С какой стати? Компьютеры сделают. Да и объем мизерный, не сравнимый с размерами жестких дисков : - )
Открытая книга: icbook.com.ua
Отправить комментарий