Жук в ноутбуках?
Наткнулся на страшную страшилку или что-то в этом есть?
... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.
2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!
Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...
комментариев: 212 документов: 27 редакций: 20
Вот бы руки у кого дошли отписать такой софт....
А в третий раз ваще сама выключилась (физ. машина) и перегрузилась...
Что же мне теперь делать, о ужос?!
комментариев: 271 документов: 13 редакций: 4
Люди, не надо опять фантазировать. Какие UDP-пакеты? Не проще ли сделать так, как делали наши деды: взять правильный BIOS, загрузиться с него, взять CD с правильной ОС, загрузиться с него. Зачем вам вообще обнаруживать вирусы, вы в лаборатории Касперского работаете?
Производительность ведь зависит не только от частоты процессора, но также от характеристик памяти и её контроллера, а также и многих других микросхем в компьютере. Трудно будет заранее вычислить эталонные характеристики разнообразных их сочетаний, особенно учитывая асинхронные варианты. Нестабильность задержек передаваемых по сети UDP пакетов окончательно сведут усилия в этом направлении на нет. А если для проверки времени на месте нужно будет специальное высокоточное оборудование, уж тогда лучше обычный программатор.
И речь ведь идёт не об обнаружении гипервизора, а об обнаружени модификации поведения БИОСА. Причём отличие времени от эталонного поведения может быть как угодно мало, например несколько дополнительных команд для выявления "ключевой ситуации" (и, например, установление системных привилегий создавшему такую ситуацию). И даже вообще 0, если удастся оптимизировать по времени исходный вариант.
Более того, То есть вся эта нетривиальная проверка биоса должна проводится регулярно.
Это термины Джоанны Рутковской со товарищами (нашедших более 40 уязвимостей в обработчике SMM). Они (термины) как-бы намекают на то, что есть более высокоприоритетные режимы, чем ring 0.
(Цитаты по ссылке выше )
Ровно до тех пор, пока нам не понадобится сделать оттуда осмысленное действие, например перехватить какое-либо прерывание. Правда дело осложняется тем, что SMM любят использовать в ноутбуках для управления питанием и для эмуляции legacy устройств, но это всё можно вырезать пропатчив BIOS.
Производительность конкретных команд (rdmsr/wrmsr) зависит от частоты и модели процессора, и ни от чего более, они к памяти не обращаются и с внешними устройствами не работают. И разница в их производительности под гипервизором и без него будет на порядки, перепутать трудно.
Какого порядка эта нестабильность? Секундная точность – хорошо. У вас пинг больше секунды – тогда увеличим время теста, и нам хватит внешнего таймера с любой точностью. С каждой новой итерацией теста вносимые гипервизором задержки накапливаются, а требования к точности измерения понижаются.
Всё, дальше можно не читать. Рутковская с сотоварищами мне по барабану, и знать их термины я не должен.
Возможно, имеет смысл создавать в интернете базу "профилей задержек", в которую можно было бы внести профиль своего компьютера после покупки и затем периодически сравнивать в прцессе эксплуатации.
Чтение скан-кодов нажатых клавиш из контроллера клавиатуры – осмысленное действие? Много времени займёт? Много следов оставит? А долгие и заментые осмысленные действия не надо производить всё время, а лишь при соблюдении условий, проверка которых коротка и незаметна.
Почему вы с ней так сурово?
Кто/что определяет ваш долг? Разве не вы сами? Но почему вы думаете, что и другие должны то же, что и вы?
комментариев: 212 документов: 27 редакций: 20
http://www.gmer.net/ тулза антируткит
А что-нибудь подобное для Linux есть?
http://rootkits.su/app/
google:anti+rootkit+bios
Внимание! Иногда под видом антивирусов распространяют вирусы!
комментариев: 212 документов: 27 редакций: 20
http://www.rom.by/article/Birus-y_Chast_pervaja
Да так, к слову пришлось.
Да, SMM кейлоггер выйдет вполне незаметным, и в принципе он может записывать данные в флеш. А вот незаметно отправить по сети уже не выйдет. Впрочем, как уже было ранее сказано, мучает паранойя – юзайте программатор. Не хватает денег купить – соберите.
Да немного напрягает поднятый ей шум насчет её "необнаружимого" BluePill, большую часть кода которого не она писала, и который необнаружим только в строгих рамках поставленных ею же условий.
комментариев: 212 документов: 27 редакций: 20