Хотя, да, SMM-трипер, к примеру, живущий во flash-bios, не детектится принципиально. Даже если знать механизм. Для авира доступ к SMM-памяти закрыт по определению. Доступ к флэш трипер может перехватить. Косвенно, на конкретной машине это детектить можно. Ручками. В автомате не вижу способов
medstrax1 У меня к примеру чтоб биос писать нужно какието джампера на плате переключать, програмно это не сделать, КО Да и этот ваш мод крут в идеале.
границы известны, определяются общностью чипсетов. На ICH5 и ICH10 не все вещи можно повторить, но общность есть.sis к примеру с intel дружит куда меньше, но точки соприкосновения есть, amd тоже.
А причем здесь ваш биос??? Продукт должен охватить не самые редкие машины, а наоборот. Я разве говорил об универсальности?
Наоборот, эффективно. Но действительно, "сложно" в реализации. Пусть твой рут закладывается тупо на ICH7 к примеру, все остальные чипы надо игнорить. Плюс надо детектить виртуалку. Обе проблемы для детей
medstrax1 Так у тебя всё просто. Понахватался гдето терминов.. возьми да напиши. Эффективнее заинфектить файл. И универсально.
medstrax1 Извините, но походу вы сами SMM руткит не делали, и не тестили на реальном оборудовании. Раз такое говорите. ИМХО
@xanxy а кто за просто так работать будет? + проблема-то искоренения вирусной угрозы до приемлемых размеров хоть и решаема, но довольно сложна и, в первую очередь, в вопросе юзабельности ОСи для конечного пользователя. однако ж, для перехода на "умные" дома без перехода на новый стандарт секуры -- пустое.
medstrax1 Не согласен. Если запуститься ранее, чем будет запущена защита то проблем чтото скрыть нет. Если заразить ядро или бутлодер, то тулза запускающаяся на этой машине после инициализации ядра ничего не найдёт. ps: Кстате ваши обещания на счёт трейса ядра http://www.wasm.ru/forum/viewtopic.php?pid=366265#p366265 уже не в силе я так понимаю ?
Clerk разумное, но частное решение -- тузла могет грузится раньше и проверять сис. файлы и ток апосля стартовать ОСь.
