-
- На процессоре винта! А вслучае чего блокирнуть его. Типа через интерфейс пролетел определенный набор симоволов... И фсё -сушите весла! И не важно какая ось и проц в компе и как этот набор попал на комп, он всё равно через механизм виртуальной rual(31 знак., 17.02.2015 13:37)
- Как этот набор символов туда прилетит? - alex68(17.02.2015 13:54)
- Например в тегах документа ВинВорд или ПДФ...Не? Это если комп не в инете, а вы решили ДС почитать С ФЛЕШКИ или CD. Ну а если в инете - то "все флаги в гости к нам" ))) Или скачали новый опенсурс-проект или картинку или фильм или книжку в формате rual(80 знак., 17.02.2015 13:57 - 14:04)
- Допустим, что есть некий набор символов, только очень длинный, а то случайно что-то включится. Что дальше? Винт заблокируется? Плевать, его выкинут, поставят новый, инфу восстановят из бэкапа. Смысл тогда вируса в чем? - alex68(17.02.2015 14:49)
- Представь себе сервер в генштабе в час Ч. Сколько его будут восстанавливать? Кста, есть хороший пример - иранские центрифуги. - rual(17.02.2015 14:58)
- Там, по идее, есть рэйды, всякое зеркалирование и дублирование. Ну а центрифуги все же были выведены из строя вирусом, который туда попал не с прошивок винтов, насколько помнится. - alex68(17.02.2015 15:02)
- Рэйды собраны из одинаковых винтов ;) - AlexBi(17.02.2015 16:22)
- Попытался представить себе рейд-массив из центрифуг. :) - vmp(17.02.2015 17:53 - 18:00, картинка)
- Баян здешний: программы хранятся с разных сторон адресного пространства, продублированные в 27С*** разных производителей и выполняются на разных архитектурах. Кто- то даже фото приводил... - KLIM83(17.02.2015 15:12)
- Ну мое это было фото и описание, и что? :) - alex68(17.02.2015 15:21)
- Класс :) - KLIM83(17.02.2015 16:07)
- Ну мое это было фото и описание, и что? :) - alex68(17.02.2015 15:21)
- Рэйды собраны из одинаковых винтов ;) - AlexBi(17.02.2015 16:22)
- Там, по идее, есть рэйды, всякое зеркалирование и дублирование. Ну а центрифуги все же были выведены из строя вирусом, который туда попал не с прошивок винтов, насколько помнится. - alex68(17.02.2015 15:02)
- "Дайте нам мильярд на защиту национальной безопасности" (с)Касперский - POV(17.02.2015 14:52)
- во-во, кому война а кому мать родна... - basilmak(17.02.2015 15:49)
- Представь себе сервер в генштабе в час Ч. Сколько его будут восстанавливать? Кста, есть хороший пример - иранские центрифуги. - rual(17.02.2015 14:58)
- Допустим, что есть некий набор символов, только очень длинный, а то случайно что-то включится. Что дальше? Винт заблокируется? Плевать, его выкинут, поставят новый, инфу восстановят из бэкапа. Смысл тогда вируса в чем? - alex68(17.02.2015 14:49)
- Например в тегах документа ВинВорд или ПДФ...Не? Это если комп не в инете, а вы решили ДС почитать С ФЛЕШКИ или CD. Ну а если в инете - то "все флаги в гости к нам" ))) Или скачали новый опенсурс-проект или картинку или фильм или книжку в формате rual(80 знак., 17.02.2015 13:57 - 14:04)
- Как этот набор символов туда прилетит? - alex68(17.02.2015 13:54)
- Я думаю, вирус должен как-то внедряться в венду. Например, подменять виндовый загрузчик, а там уже всё что угодно может быть. - SciFi(17.02.2015 12:43)
- Нафига ему внедряться в винду? Или кто-то считает что винда сама не вирус? Ежели ОСь постоянно висит в инете и rual(107 знак., 17.02.2015 13:25 - 13:36)
- Если там не винды и не х86 процессор? - alex68(17.02.2015 13:07)
- и при этом уметь обходить фаервол, имхо - m16(17.02.2015 12:51)
- Фаервол - это экспертиза ФСБ? Ну тады да, может и не обойти :-) - SciFi(17.02.2015 12:54)
- какой фаервол до загрузчика? - =AlexD=(17.02.2015 12:53)
- "аппаратный" или есть еще компьютеры, которые напрямую во внешнюю сеть втыкаются? конкретно в данном случае, я считаю, больше все же вероятность, что оказались зараженными винтиы исключительно в тех машинах, которые проверялись касторским. - blackprapor(17.02.2015 12:55 - 12:57)
- у меня есть подозрения, что любой сетевой файервол легко обходится на физ уровне в самой сетевой карте. Мы ж не знаем, что там за прошивки в сетевых чипах. - =AlexD=(17.02.2015 13:01)
- Не очень понял, как можно внешний фаервол обойти, если нужно послать пакет, то у него все равно будет адрес, который либо зафиксирует, либо заблокирует этот фаервол? - blackprapor(17.02.2015 13:05)
- Блин, ну вы как маленькие, у АНБ небось лежит документик - какие битики в пакете установить, что-бы любой аппаратный свич его сквозняком продувал, там этих неиспользуемых битиков море, а любой роутер он поверх свича работает, он об этом и не =AlexD=(8 знак., 17.02.2015 14:41)
- Это так, для задуматься. - =AlexD=(17.02.2015 14:55, ссылка)
- Вот ещё для задумчивых --> SciFi(989 знак., 17.02.2015 15:01, ссылка)
- Верить нельзя никому. Мне можно.(с) - =AlexD=(17.02.2015 15:16)
- В моих прошивках вирусов нет! :-) - SciFi(17.02.2015 15:38)
- GNU C, не? Исходники имеются. Или и там в компиляторе заранее есть вирус? - alex68(17.02.2015 15:05)
- Там гигабайт исходников, учухаешься проверять. - LightElf(17.02.2015 19:32)
- А много ли людей может и станет писать свой компилятор для компиляции исходников другого компилятора, для проверки на вирус? - =AlexD=(17.02.2015 15:15)
- чукча не читатель? - SciFi(17.02.2015 15:06)
- Верить нельзя никому. Мне можно.(с) - =AlexD=(17.02.2015 15:16)
- Вот ещё для задумчивых --> SciFi(989 знак., 17.02.2015 15:01, ссылка)
- Это так, для задуматься. - =AlexD=(17.02.2015 14:55, ссылка)
- +1. Если есть внешний роутер и на нем есть файервол, то как обойти его? Прошивка, скажет, открытая, типа openwrt. - alex68(17.02.2015 13:10)
- Блин, ну вы как маленькие, у АНБ небось лежит документик - какие битики в пакете установить, что-бы любой аппаратный свич его сквозняком продувал, там этих неиспользуемых битиков море, а любой роутер он поверх свича работает, он об этом и не =AlexD=(8 знак., 17.02.2015 14:41)
- Не очень понял, как можно внешний фаервол обойти, если нужно послать пакет, то у него все равно будет адрес, который либо зафиксирует, либо заблокирует этот фаервол? - blackprapor(17.02.2015 13:05)
- у меня есть подозрения, что любой сетевой файервол легко обходится на физ уровне в самой сетевой карте. Мы ж не знаем, что там за прошивки в сетевых чипах. - =AlexD=(17.02.2015 13:01)
- после загрузки ос при сливе информации , не? - m16(17.02.2015 12:56)
- после загрузки читаться могут совершенно безобидные валидные данные, а уже работающий код не сложно спрятать в одном из специальных режимах процессора. - =AlexD=(17.02.2015 12:59)
- Тот "фаервол" который работает на этой же машине после загрузки ОС теоретически легко пачится этим же подменным загрузчиком. - blackprapor(17.02.2015 12:59)
- "аппаратный" или есть еще компьютеры, которые напрямую во внешнюю сеть втыкаются? конкретно в данном случае, я считаю, больше все же вероятность, что оказались зараженными винтиы исключительно в тех машинах, которые проверялись касторским. - blackprapor(17.02.2015 12:55 - 12:57)
- А если он пропатчит ядро операционки, распознав тип и версию? Причём проверить это невозможно, т.к. патч накладывается налету в момент процедуры загрузки. - =AlexD=(17.02.2015 12:42)
- А как код запустится первый раз? И снова - а на каком процессоре? - alex68(17.02.2015 13:05)
- Прошивка харда может тупо просканировать загрузочные сектора, и если там (к примеру) загрузчик x86 венды, тупо подменить его своим кодом (если есть признаки начальной загрузки - включение питание и настройка из БИОС) прямо на лету в выходном =AlexD=(138 знак., 17.02.2015 14:45)
- То есть при включении винт проверяет область, обычно отведенную под mbr и при чтении данных с нее выдает свой, вирусный, код? А если винт не загрузочный? И все же как винт отличит холодный запуск от последующего чтения? Ведь потом, при alex68(129 знак., 17.02.2015 14:58)
- Первый раз от подачи питания - подменяет сектор, при последующем чтении - не подменяет. Всех дел. - LightElf(17.02.2015 20:13)
- Методы уже отработаны. Один из них (когда прячут хвост диска) - по ссылке. Был другой метод (address offset), со скрытой областью в начале диска (имхо, намного более интересный), но его почему-то закрыли. - vmp(17.02.2015 20:43, ссылка, ссылка)
- Это же стандартные команды, их сразу видно. Гораздо интереснее, когда не видно :) - LightElf(17.02.2015 21:52)
- После того, как они отработали, их (почти) не видно. - vmp(17.02.2015 22:09)
- Вот начнут чипы друг с другом по вайфаю общаться - будет весело. "Алекс - Юстасу..." - SciFi(17.02.2015 22:13)
- После того, как они отработали, их (почти) не видно. - vmp(17.02.2015 22:09)
- Это же стандартные команды, их сразу видно. Гораздо интереснее, когда не видно :) - LightElf(17.02.2015 21:52)
- Методы уже отработаны. Один из них (когда прячут хвост диска) - по ссылке. Был другой метод (address offset), со скрытой областью в начале диска (имхо, намного более интересный), но его почему-то закрыли. - vmp(17.02.2015 20:43, ссылка, ссылка)
- 1) именно 2) значит ничего не делает 3) я подозреваю, что настройки БИОСа в горячем состоянии не поменять, хотя могу и ошибаться, а уж дёргать питание перед этим можно только в спецлаборатории - =AlexD=(17.02.2015 15:11)
- Первый раз от подачи питания - подменяет сектор, при последующем чтении - не подменяет. Всех дел. - LightElf(17.02.2015 20:13)
- То есть при включении винт проверяет область, обычно отведенную под mbr и при чтении данных с нее выдает свой, вирусный, код? А если винт не загрузочный? И все же как винт отличит холодный запуск от последующего чтения? Ведь потом, при alex68(129 знак., 17.02.2015 14:58)
- Прошивка харда может тупо просканировать загрузочные сектора, и если там (к примеру) загрузчик x86 венды, тупо подменить его своим кодом (если есть признаки начальной загрузки - включение питание и настройка из БИОС) прямо на лету в выходном =AlexD=(138 знак., 17.02.2015 14:45)
- А как код запустится первый раз? И снова - а на каком процессоре? - alex68(17.02.2015 13:05)
- На процессоре винта! А вслучае чего блокирнуть его. Типа через интерфейс пролетел определенный набор симоволов... И фсё -сушите весла! И не важно какая ось и проц в компе и как этот набор попал на комп, он всё равно через механизм виртуальной rual(31 знак., 17.02.2015 13:37)