Вирусная аналитика

Тема в разделе "WASM.HEAP", создана пользователем Luis, 20 сен 2010.

  1. Nesmysl

    Nesmysl New Member

    Публикаций:
    0
    Регистрация:
    4 авг 2010
    Сообщения:
    33
    Они сами не знают кто работает у них в компании и сколько)

    Боже мой, как страшно!))

    Мне
     
  2. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    Тут ты далеко переплюнул Капитана Очевидность )))
     
  3. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    Хотя, да, SMM-трипер, к примеру, живущий во flash-bios, не детектится принципиально. Даже если знать механизм.
    Для авира доступ к SMM-памяти закрыт по определению. Доступ к флэш трипер может перехватить.
    Косвенно, на конкретной машине это детектить можно. Ручками. В автомате не вижу способов
     
  4. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    ага а косячность этого смм незнает границ ибо воистину
     
  5. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    medstrax1
    У меня к примеру чтоб биос писать нужно какието джампера на плате переключать, програмно это не сделать, КО :)
    Да и этот ваш мод крут в идеале.
     
  6. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    границы известны, определяются общностью чипсетов. На ICH5 и ICH10 не все вещи можно повторить, но общность есть.sis к примеру с intel дружит куда меньше, но точки соприкосновения есть, amd тоже.
     
  7. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    А причем здесь ваш биос??? Продукт должен охватить не самые редкие машины, а наоборот.
    Я разве говорил об универсальности?
     
  8. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    medstrax1
    Не эффективно и очень сложно в реализации. Игра не стоит свеч как говорят.
     
  9. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    Наоборот, эффективно. Но действительно, "сложно" в реализации.
    Пусть твой рут закладывается тупо на ICH7 к примеру, все остальные чипы надо игнорить.
    Плюс надо детектить виртуалку. Обе проблемы для детей
     
  10. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    medstrax1
    Так у тебя всё просто. Понахватался гдето терминов.. возьми да напиши. Эффективнее заинфектить файл. И универсально.
     
  11. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    medstrax1
    Извините, но походу вы сами SMM руткит не делали, и не тестили на реальном оборудовании. Раз такое говорите. ИМХО
     
  12. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    @xanxy
    а кто за просто так работать будет?:) + проблема-то искоренения вирусной угрозы до приемлемых размеров хоть и решаема, но довольно сложна и, в первую очередь, в вопросе юзабельности ОСи для конечного пользователя. однако ж, для перехода на "умные" дома без перехода на новый стандарт секуры -- пустое.
     
  13. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    плять, не инфектится файло беспалевно, сколько можно трендеть об этом???
     
  14. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    будут ли доказательства? :)
     
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    MSoft
    есть такое простое слово хэш:)
     
  16. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    medstrax1
    Не согласен. Если запуститься ранее, чем будет запущена защита то проблем чтото скрыть нет. Если заразить ядро или бутлодер, то тулза запускающаяся на этой машине после инициализации ядра ничего не найдёт.

    ps: Кстате ваши обещания на счёт трейса ядра http://www.wasm.ru/forum/viewtopic.php?pid=366265#p366265 уже не в силе я так понимаю ? :)
     
  17. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Clerk
    разумное, но частное решение -- тузла могет грузится раньше и проверять сис. файлы и ток апосля стартовать ОСь.
     
  18. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    UbIvItS
    Гипотетически :)
     
  19. Medstrax

    Medstrax Забанен

    Публикаций:
    0
    Регистрация:
    18 июл 2006
    Сообщения:
    673
    Кто первый, тот и папа, это естесно. Не понял что ты хочешь доказать
     
  20. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    medstrax1
    Доказать что инфект актуален, а смм/биос не актуально.