Жук в ноутбуках?
Наткнулся на страшную страшилку или что-то в этом есть?
... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.
2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!
Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...
Обычный юзер ни за что не найдет обычного шпионского трояна, который написан достаточно хорошо, чтобы не обнаруживаться антивирусами. Поэтому я отталкиваюсь от возможностей грамотного параноика, готового потратить некоторое количество времени и денег на обеспечение своей безопасности.
cbrom, modbin + BIOS флешер от производителя мамки. Хотя обычному юзеру лучше в BIOS руками не лезть, ибо запорет.
После перепрошивки откусить у FLASH-чипа ножку разрешения записи.
Ну так не зря исследование проводится в контролируемой обстановке и только с специальным софтом, который генерирует строго определенный трафик по множеству стандартных протоколов.
Используемый для исследования софт он не сможет обнаружить, потому что это приват, который пишется для узкого круга пользователей, и никому больше не даётся. Ограниченное распространение – единственный способ защитить антируткит от целевых атак.
Это слишком сложно, чтобы было надежным. Мы проверяем на наличие массовых троянов, а не на бекдор написанный специально для вас и под используемый вами софт. Если вы опасаетесь высокобюджетных и направленных лично лично на вас атак, то следует отталкиваться от сбора системы из заведомо безопасных компонентов. Т.е. юзаем железо и софт, проверенные вашей службой безопасности, и юзаем всё это только в специально оборудованных помещениях и под надежной охраной, а то, знаете ли, данные можно получить без всяких шпионских штучек, путем взлома пользователя грубой силой.
Учтите, что четырёхбуквенные компании копирастов объективно заинтересованны в создании таких вирусов.
Что необходимо произвести, в какой последовательности, каким образом определить шпионский модуль если таковой присутствует?
комментариев: 7 документов: 0 редакций: 0
Конечно – речь шла о замене AUTOCHK. EXE. Второй добавляемый файл – rpcnet.exe.
Особенно интересна процедура проверки такой службой железа... ;)
Если речь о Computrace – просто ищем в прошивке строку "CompuTrace", правда получится, лишь ежели модуль не упакован. Ежели упакован – ищем модули типа "user", "another" и т.п., распаковываем и смотрит.
Если речь о SMM-обработчике и его дополнений – ищем и распаковываем модули, связананные с SMM, PMM и т.п. В частности, в случае упомянутого выше Award BIOS для просмотра кода SMI-handler-а это будет:
cbrom bios.bin /ygroup extract
Благодарю. А как быть с phoenixbios, тот же инструмент и методы? Насколько тривиальна распаковка?
комментариев: 9796 документов: 488 редакций: 5664
Лучше потерпеть немного глюков такого БИОСа и отсутствие фирменных фич от производителя.
комментариев: 7 документов: 0 редакций: 0
Бывают мертворождённые проекты. Однако эти, вообще – мёртвозадуманные... :D