27
-
turul16 #27 Új virus ellen a virus keresőd nem véd általában.
Pár tip:
Békésnek tűnő filok (pl. kép), file kezelőjébeni (ami csinál valamit a képpel) hiba(bug) kihasználásával ráviszi, hogy a kivánt kódrészletre kerüljön az utasítás mutató.
Kapsz valamit, amin volt egy gonosz autorun, amit Windowsodos kérdés nélkül futat esetleg.
Ha letöltesz egy szoftvert soha nem tudod mi is az valójában...
Jó tanács: Rendszergazdai jogkörrel rendelkező proffilal(userel) , ne nagyon csinálj mást, mint amihez feltétlenül szükséges.
A Linux sok esetben emiatt tartják kevésbé veszélyeztetettnek ,mert ilyen magatartással használják. (pedig csak az átlag Linux user "okosabb") -
Indigo #26 Na, nincs olyan okos aki tudja a választ? -
turul16 #25 És a rafkós roorkit szerinted, nem fogja megkérni a BIOS-t vagy az OS-t, hogy kérje meg BIOS-t, hogy adjon neki VM -et, aztán meg felül kerekedik az OS felett... (de tegyük fel "BIOS" felé nem, akkor sem mutat ugymond semmit az OS-ed)
Egy szónak is száz a vége.., ha virus rootjogot kap és okos akkor cseszheted. Virtulizáció ide vagy oda.. -
Indigo #24 Én csak azt akarom kérdezni, hogy egy ilyen mai rootkit hogy kerülhet be a gépembe, ha naprakész vírusírtót és tűzfalat használok? Mert az ok, hogy ha már bent van, akkor "letagadja a létezését", de hogy kerül be?
A linket pedgi kösz irkab1rka, érdekes volt olvasgatni a témáról. -
#23 Mivan? Ebből a cikkből egy árva kukkot sem lehet érteni! Teljesen értelmetlen zagyvaság az egész, ráadásul olyan példát hoz, amitől még inkább kacsaszagúvá válik az egész!!! -
hypno #22 Na most...
Ha nem veszem észre, akkor semmi olyat nem csinál amit észre kellen vennem.
Ha meg csinál, akkor biztosan észreveszem, mert nem úgy fog működni a verkli mint korábban.
Itt volna az ideje a félkész, menet közben javított szoftverekről áttérni a késztermékek terjesztésére. Különös tekintettel az operációs rendszerekre. -
kvp #21 Az ilyen rootkit-ek elleni legbiztosabb vedekezes ha meg az operacios rendszer elinditasa elott a bios elinditja a virtualizaciot es az os mar eleve egy vm-be kerul betoltesre. Igy nem az operacios rendszernek, csupan a bios-nak kell biztonsagosnak lennie. Az os csak a bios-on keresztul kerhet uj vm-et. Ezt a megoldast a microsoft hypervisor-nak keresztelte el, es egy hardware-es titkositasi megoldassal kiegeszitve az uj xbox360 vedelmenek alapjat kepezi. Ezert van az, hogy a konzolon meg a jatekok es a win2k alapu kernel sem latjak egymast, mivel kulon vm-ben futnak. A kommunikaciot, a drm kezelest es a drm alapu program (dll) betoltest pedig kizarolag a bios-ba integralt hypervisor vegzi. Igy elmeletileg lehetoseg lenne akar linux inditasara is, a masolasvedelem megkerulese nelkul. Az utobbi megoldast varhatoan az ugyancsak ibm technologiat hasznalo ps3 fogja hasznalni. -
turul16 #20 Javíts ki ha tévednék, de ha végrehajtja a helycserés támadást(mivel más esetben tudhatna a módosításrol, mivel láthatja a területet ahová HW hamisitást irták) , és ugyan anyi fizikai ramot jelez neked ,mint amit beletettél, durván ki is használod (OS), akkor a Virusnak swappolást kell kezelnie. Ha csak a HW I/O kat fogja el, hogyan oldja meg ? Ki kell találnia mit akkart az fs -kezelője ? Vagy pl. elintézi, hogy laphibát dobjon minden fs- műveletnél és saját maga kezeli le? (Talán ez még menne, de kicsit reckir, és lassú, (és nem platform fügetlen))
És hova számolja el a vinyón nem használható helyet ? (aminek szintén tudod a méretét)
Valahol nem fog össze jönni az össze adás.. -
turul16 #19 Én azt is mondtam, hogy, ha a cuccnak megvan a joga virtulizálni, van joga máshoz is, pl. átirni a kernelt, a végeredmény kb. u.a. lehet. -
irkab1rka #18 rootkitekhez:
rootkit kereső ingyé
virtualizációhoz:
turul16, szerintem kicsit vakargasd meg a virtualizációról szóló speckót (pláne, a már voltál kedves belinkelni - köszi). Gondold már végig. A buta rootkit lebukik azon, ahogy beül az oprendszer funkcinalitásába, és pl. mást ad vissza egy registry lekérdezéskor, mint ami a raw registry-ben van. A virtualzációról a legjobb közérthető megfogalmazást a Galaxis utikalauzban (nem azonos a szar filmmel ami a mozikban azonos címmel ment!!!) van megfogalmazva: nem veszed észre, hogy kicserélték az agyad, mert az új agyad nem fogja ezt megengedni, hogy észrevedd a cserét.
Másszóval: az összes arra irányuló kisérleted, hogy kiderítsd, hogy a proci csak 0.szintre hazudja magát kudarcra van ítélve, mert az érintett opkódok okozta megszakítást a virtualizációt futtató kód kezeli le, és ő majd jól megmondja a tutit :)
Tudtommal csak úgy bukhat le, hogy minden privilegizált utasítás tovább tart, mint kéne (a speckótól eltérő órajel ciklust igényel a végrehajtás). A belső óra elkezd másként járni (ha ez jutott eszedbe, hogy utánhangolod), amit azért lehet észlelni, ha csinálsz 1 másodpercig taskswitchet, és megszámolod, hogy hányszor tudtad végrehejtani. :)
Persze nincs megoldhatatlan feladat, és elvis él. -
turul16 #17 Legdurvább akkor lenne a dolog, ha gyerek helyet cserélne a szülővel... -
turul16 #16 Egyszerre két cucc kaphat jogot u.a. a fizika I/O -hoz ? Még, ha meg is teszi a virus, HW I/Ok hamar össze gabajodnának és fagyna minkét cucc. (de min. komunikációs hibákat biztos, gyakran dobnának)
Az meg végkép "nem" tűnne fel, hogy kevesebb fizika memóriárol rendelkezhet az OS ?
Véletlenül nem keletkezik agy "virtuális gép", a létre hozásához komoly jogkör kell. A létrehozó OS számára, meg észrevehető a léte szvsz. És meg is gyilkolhatja. -
Horizon #15 Joanna nem nagyon ir konkretumokat, de ha jol ertem olyasmirol lehet itt szo, hogy elindit egy programot a kiszemelt rendszeren, ami a cpu virtualizacios regisztereivel valo jatszadozassal felhuz egy reszleges hypervisort, ami mar kivul esik a rendszer altal belathato hardveren. Egyaltalan nem elkepzelhetetlen, persze a jelenletere ha a gepet fizikailag manipulalja (fileokat ir, stb.) ra lehet jonni, csak kiirtani nem lehet (belulrol a rendszerbol), hiszen az mar nem eri el. -
turul16 #14 Ha az OS nem támogatja egy nem 0 priv szintű process biztos nem fogja felhuzni VM-t. Ha egy virus 0 priv leveles es taskot kapott, akkor teljesen 8, hogy virtulizációval vagy mással telepszik rá a rendszerre. -
assdf #13 Onnan tudom, hogy amikor valami egy mátrixos példát hoz fel, abból is egy ilyen hülyeséget mint a kék tabletta, na akkor már tudom hogy az egész egy nagy marhaság. Ha nem az lenne, akkor szépen leírná a dolog konkrét müködését, ebből viszont az látszik hogy kb. annyira ért a témához mint én -
juhand #12 Szeretném megkérni a tisztelt AMD-t és az alaplapgyártókat, hogy a virtualizációt az alaplapokon egy jumper segítségével teljesen le lehessen tiltani. -
turul16 #11 Reklém
Specifikáció -
turul16 #10 A nélkül is nyilván való :) -
#9 Honnan tudod, hogy parasztvakítás, ha azzal sem vagy tsztában, hogy mi az a virtualizáció? -
Equ #8 Kicsit értelmesebben itt: Az AMD virtualizációs technológiáján alapul egy új rootkit -
irkab1rka #7 rootkitnek hivják, minek a buzz.
Amúgy meg a virtualizáció nem megfelő használata az os hibája, javítani kéne má, mert én írok egy os-t de hirtelen.
Igen, ez fenyegetés. -
Indigo #6 Ez így van, semmi értelme nincs destruktív vírusokat írni, amikor ugyanannyi erővel kis fürkész progikat is lehet (pl WGA?), annak haszna is lehet. -
Indigo #5 Nem valami fényes jövőkép :S -
assdf #4 Ez mekkora parasztvakítás már...
Egyébként mi az a virtualizáció? valaki elmagyarázhatná röviden mert kicsit lemaradtam -
Szeszmester #3 Már nem menők a destruktív vírusok, legalábbis nem a felhasználó gépét támadják. A cél általában az, h pénzt keressenek vele, vagy megbénítsanak egy-egy szervert. -
turul16 #2 "Jönnek az érzékelhetetlen számítógépes kártevők", anyira érzékelhetetlenek, hogy nem is tesznek kárt :) Ha "virtualizálok" az biztos véletlen lesz :) Valami net forgalmat azért csak generál ez is, mikor TB-számomat küldi el valakinek :) Valami rendszer bizbaszt ennek is módosítania kell, azt persze dalolva megengedem neki :) Ezentul különüsen figyelni fogok rá, hogy virtulizálos virusokat inditsak el.
Wake up Neo.. -
roliika #1 ÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁáá...Ha kárt tesz akkor észreveszem nem? Virtualizáció ide virtualizáció oda, ezek akkor is memóriát esznek + procit és használják a kimenő és bejövő portokat,file-okat írnak felül, stb...baromság...bár...ha alacsony a rendszer igénye, és mint user csak azt látom, hogy nincs futó folyamat, és elhiteti velem, hogy nincs aktív port, se lemez kezelés, akkor lehet benne valami és akkor van mitől félnünk...olyan program lehet ami "legális" csak törölget össze-vissza + rombol???