HWSW Informatikai Kerekasztal: Mebroot - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (2 Oldal)
  • +
  • 1
  • 2
  • Nem indíthatsz témát.
  • A téma zárva.

Mebroot a gonosz rootkit

#1 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Hozzászólás ikon  Elküldve: 2008. 03. 08. 13:09

Most olvastam a hwsw cikket ezzel kapcsolatban. A kérdésem az volna, hogy vajon ez a herkentyű olyan gépekre is fel tud é települni amiken van alaplapi vírusvédelem? Hiszen az elvileg semmit nem enged feltenni az MBR-be külön jóváhagyás nélkül.
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#2 Felhasználó inaktív   SFIJ 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 20.145
  • Csatlakozott: --

Elküldve: 2008. 03. 08. 17:34

Idézet: Gurgula - Dátum: 2008. márc. 8., szombat - 13:09

Most olvastam a hwsw cikket ezzel kapcsolatban. A kérdésem az volna, hogy vajon ez a herkentyű olyan gépekre is fel tud é települni amiken van alaplapi vírusvédelem? Hiszen az elvileg semmit nem enged feltenni az MBR-be külön jóváhagyás nélkül.

csak általában kikapcsolva hagyod ugye.. márészt sajnos egyedül az MBR tartalmát figyeli.
νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

#3 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 01:28

"Igen veszélyes rootkitre, eddig csak elméleti szinten létező, önmagát sikeresen elrejtő rosszindulatú alkalmazásra figyelmeztetnek az internetbiztonsági cégek, többek között az F-Secure. A rootkit a merevlemez első szektorairól, a master boot rekordról tölti be magát, még az operációs rendszer, vagy a merevlemezről indított víruskereső szoftverek előtt, ezzel később teljesen felfedezhetetlenné téve kódját és tevékenységét."

Azért jó a cikk is, nem kevés rootkit eddig is hatástalanította a vírusölőt/tüzesfalat, meg futó taszkok közt sem látszott. Boot folyamat előtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-ből, de talán D2FAT, Cruel is?
Make love not Wor.

#4 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 01:29

Naja, kis áttekintés:

http://irclabor.hu/virustortenelem
Make love not Wor.

#5 Felhasználó inaktív   SFIJ 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 20.145
  • Csatlakozott: --

Elküldve: 2008. 03. 09. 03:15

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 1:28

Boot folyamat előtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-ből, de talán D2FAT, Cruel is?

háátigaz de akkor dos alapú rendszereink voltak. olyan szoffer ami be tudott fűződni az NT kernel alá és a kernel még működőképes is maradt csak 1et ismerünk, a softice debuggert. de annak is leáldozott a karrierje, mert az m$ az xpvel elkezdte vízjelezni a kernelt és attól kezdve a softice-nak szevasz volt. másfelől, hamár benne vagyunk a kerneltérben, akkor mi a frásznak emittánám magam bele a proceszekbe?  :think:
νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

#6 Felhasználó inaktív   Warrior 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 10.246
  • Csatlakozott: --

Elküldve: 2008. 03. 09. 10:32

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 2:28

"Igen veszélyes rootkitre, eddig csak elméleti szinten létező, önmagát sikeresen elrejtő rosszindulatú alkalmazásra figyelmeztetnek az internetbiztonsági cégek, többek között az F-Secure. A rootkit a merevlemez első szektorairól, a master boot rekordról tölti be magát, még az operációs rendszer, vagy a merevlemezről indított víruskereső szoftverek előtt, ezzel később teljesen felfedezhetetlenné téve kódját és tevékenységét."

Azért jó a cikk is, nem kevés rootkit eddig is hatástalanította a vírusölőt/tüzesfalat, meg futó taszkok közt sem látszott. Boot folyamat előtti indulást meg már valamikor a 90-es években megcsinálták, tudja a fene mik voltak, Michelangelo tuti, valamikor 91-92-ből, de talán D2FAT, Cruel is?

Meg még sorolhatnánk azt a pár ezer "fajt", amik a bootvírus kategóriába tatoznak. Megfigyelhető volt, hogy vagy 5-6 éve ezek gyakorlatilag teljesen eltűntek.
"Hey Ripley, don't worry. Me and my squad of ultimate badasses will protect you! Check it out! Independently targeting particle beam phalanx. Vwap! Fry half a city with this puppy. We got tactical smart missiles, phase-plasma pulse rifles, RPGs, we got sonic electronic ball breakers! We got nukes, we got knives, sharp sticks..."

#7 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 09. 12:50

Idézet: SFIJ - Dátum: 2008. márc. 8., szombat - 18:34

csak általában kikapcsolva hagyod ugye.. márészt sajnos egyedül az MBR tartalmát figyeli.

Miért kéne kikapcsolva hagyni? Egyébként ha csak az mbr tartalmát figyeli, az elégnek tűnik, hiszen ha valami belepiszkál, akkor meg is változik a tartalma nem?

Warrior: Mi volt az oka az eltűnésüknek?
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#8 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2008. 03. 09. 13:15

Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50

Miért kéne kikapcsolva hagyni?

Engem csak idegesített elvileg üzemszerű használat mellett is. Júzer nekilátott gépet defragolni, oszt "yááááj vírusomvan", nyomott mindent, én meg mehettem rendbetenni a dógokat.
Make love not Wor.

#9 Felhasználó inaktív   Warrior 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 10.246
  • Csatlakozott: --

Elküldve: 2008. 03. 09. 17:53

Idézet: Jahno - Dátum: 2008. márc. 9., vasárnap - 14:15

Engem csak idegesített elvileg üzemszerű használat mellett is. Júzer nekilátott gépet defragolni, oszt "yááááj vírusomvan", nyomott mindent, én meg mehettem rendbetenni a dógokat.


Csakhát elvi üzemszerű használatkor nem nagyon szokunk mbr-t újraírni.
Windows reinstallkor inkább. Azt nem tudom, megkerülhető-e a bios védelme, de gyanús, hogy igen, ha ahogy SFIJ kolléga is írta, hogy a tartalmat figyeli. Polimorf vírusok is léteznek, úgy, hogy a kód crc-je változtatlan marad, s közben "jónéhány" variációjuk van. Van ott fejlettség alacsony szinten is.

Ha meg a műveleteket figyeli - hát az is megkerülhető. Nem kötelező bios hívásokat használni...

:offtopic: Kissé álmos vagyok, bocsi, ha mellébeszélek.

Szerkesztette: Warrior 2008. 03. 09. 17:55 -kor

"Hey Ripley, don't worry. Me and my squad of ultimate badasses will protect you! Check it out! Independently targeting particle beam phalanx. Vwap! Fry half a city with this puppy. We got tactical smart missiles, phase-plasma pulse rifles, RPGs, we got sonic electronic ball breakers! We got nukes, we got knives, sharp sticks..."

#10 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 10. 15:35

Ez vajon ilyen polimorf vírus? Ha el lehet kerülni a bios hívásokat,akkor miért érdemes egyáltalán alkalmazni? Mármint a vírusnak természetesen. Nem értek hozzá, úgyhogy ha kifejted kicsit szájbarágósan, azt megköszönöm.
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#11 Felhasználó inaktív   zoli62 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 8.623
  • Csatlakozott: --

Elküldve: 2008. 03. 10. 16:44

Kb. 10 éve melyik volt az a bootsector-vírus? Képes volt átnevezni a rendszerfájlok nevét.
"Légy szerény mint én..."

#12 Felhasználó inaktív   SFIJ 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 20.145
  • Csatlakozott: --

Elküldve: 2008. 03. 10. 17:26

Idézet: Gurgula - Dátum: 2008. márc. 9., vasárnap - 12:50

Miért kéne kikapcsolva hagyni? Egyébként ha csak az mbr tartalmát figyeli, az elégnek tűnik, hiszen ha valami belepiszkál, akkor meg is változik a tartalma nem?

Warrior: Mi volt az oka az eltűnésüknek?

nem. a bootsectorban lakik az ntldr. az meghijja az ntdetect.com-ot ez utobbi fogja a kernelt tolteni. tehat ha az ntdetect-et megmaszirozod akkor alanyultal a kernelnek.
νιψονανωμηματαμημωνανοψιν

What do stars do? They shine.(Yvaine)

#13 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 10. 19:33

Idézet: SFIJ - Dátum: 2008. márc. 10., hétfő - 18:26

nem. a bootsectorban lakik az ntldr. az meghijja az ntdetect.com-ot ez utobbi fogja a kernelt tolteni. tehat ha az ntdetect-et megmaszirozod akkor alanyultal a kernelnek.

Ha ez ennyire egyszerű, akkor hogyhogy nem csinálták meg ezt eddig? win 98 nál is így működik?

Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#14 Felhasználó inaktív   alvaro 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.885
  • Csatlakozott: --

Elküldve: 2008. 03. 10. 23:01

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 19:33

Ha ez ennyire egyszerű, akkor hogyhogy nem csinálták meg ezt eddig? win 98 nál is így működik?

Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:

Nekem pont ez járt a fejemben, hogy ha nem is naponta, de azért megnézném a gépet egy nem a winem alatt futó (szóval önbootoló) víruskeresővel. Csakhogy az utóbbi években eléggé eltávolodtam ezektől a dolgoktól, szóval mi az a kereső, ami így működik? Irtania nem is kéne, ha talál valamit, fixmbr aztán ghost...
Shame on us, doomed from the start
May God have mercy on our dirty little hearts

#15 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 11. 09:32

Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 0:01

Nekem pont ez járt a fejemben, hogy ha nem is naponta, de azért megnézném a gépet egy nem a winem alatt futó (szóval önbootoló) víruskeresővel. Csakhogy az utóbbi években eléggé eltávolodtam ezektől a dolgoktól, szóval mi az a kereső, ami így működik? Irtania nem is kéne, ha talál valamit, fixmbr aztán ghost...

De természetesen a fixmbrt sem vinóz alól indítva :) Kár hogy nincs írásvédett pendrive, mert akkor valahogy meg lehetne csinálni, hogy első körben onnan hívja meg az említett "dolgokat" (függvényeket?) Másolja rá a vinyóra, és kész. Persze nem tudom ezek egyszerű üzem közben mennyit változnak...
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#16 Felhasználó inaktív   alvaro 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.885
  • Csatlakozott: --

Elküldve: 2008. 03. 11. 20:42

Idézet: Gurgula - Dátum: 2008. márc. 11., kedd - 9:32

De természetesen a fixmbrt sem vinóz alól indítva :) Kár hogy nincs írásvédett pendrive, mert akkor valahogy meg lehetne csinálni, hogy első körben onnan hívja meg az említett "dolgokat" (függvényeket?) Másolja rá a vinyóra, és kész. Persze nem tudom ezek egyszerű üzem közben mennyit változnak...

fixmbr az xp install-lemezéről bootolva megoldható :)

Na de a kérdésem még mindig áll: önálló bootolású víruskereső létezik-e s micsoda (minthogy a win alatt futkosónak olyan sok értelmét nem látom, főleg így)...

Írásvédett pen? Mintha SD kártyákon (némelyiken) lenne írásvédő kapcsoló, ezt kombinálva egy USB kártyaolvasóval, az valami. De nem értem a dolog célját. Egy bootolható CD nem írható túl egyszerűen, ráadásul onnan indítva a gépet nem is fut a vírus/rootkit/egyéb állatfaj.
Shame on us, doomed from the start
May God have mercy on our dirty little hearts

#17 Felhasználó inaktív   Warrior 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 10.246
  • Csatlakozott: --

Elküldve: 2008. 03. 12. 08:33

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 16:35

Ez vajon ilyen polimorf vírus? Ha el lehet kerülni a bios hívásokat,akkor miért érdemes egyáltalán alkalmazni? Mármint a vírusnak természetesen. Nem értek hozzá, úgyhogy ha kifejted kicsit szájbarágósan, azt megköszönöm.

A bios egy interface valójában: rutinok gyűjteménye. Pl. hdd-kezelésnél ha bios hívásokat használsz (s ez volt igaz 10 éve), akkor a programod kompatibilisebb lesz, mivel a bios fogja "a logikai paramétereket fizikaiakká leképezni" <--- ez nem szép megfogalmazás, de azért remélem érthető a lényeg.
Ha a programot elviszed más gépbe, jó eséllyel menni fog.

Ugyanez igaz nemcsak a hdd-kezelésre, hanem pl. rendszeridő, alaplapi resource-ok, s 1 csomó dologra, amiket bios-ban tarhatunk karban.

Ha közvetlenül akarsz hdd-t kezelni, elvben megteheted (remélem jól gondolom, mert ilyet még nem csináltam én sem), de akkor neked kell felismertetni a hdd paramétereit (cyl, felj, szekt. szám), s megírni a programot úgy, hogy ha beraknak egy másik hdd-t akkor azt is tudja kezelni.

Windows esetén az nt vonal már sok esetben nem használja a bios-t, illetve annak konfigurációját.

Anno win98 alatt, letiltottam bios-ban pár hdd-t (mert volt vagy 4 a gépben), nt-t akartam rakni, s 1 kiló rendszer már volt fenn, biztosra akartam menni, aztán megpelődtem amikor az nt telepítő látta minden hdd-t...

Linux is ilyen: gyakran nem foglalkozik a bios-szal.

Egyébként ilyesmi oka van annak is pl. hogy nt-2000-xp kezel olyan méretű hdd-ket is, amiket a bios nem jól "lát".
"Hey Ripley, don't worry. Me and my squad of ultimate badasses will protect you! Check it out! Independently targeting particle beam phalanx. Vwap! Fry half a city with this puppy. We got tactical smart missiles, phase-plasma pulse rifles, RPGs, we got sonic electronic ball breakers! We got nukes, we got knives, sharp sticks..."

#18 Felhasználó inaktív   Warrior 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 10.246
  • Csatlakozott: --

Elküldve: 2008. 03. 12. 08:51

Idézet: Gurgula - Dátum: 2008. márc. 10., hétfő - 20:33

Ha ez ennyire egyszerű, akkor hogyhogy nem csinálták meg ezt eddig? win 98 nál is így működik?

Nagyszerű, most akkor naponta el kéne indítani valami bootcd-ről egy vírusirtót hogy nyugodtd legyen az álmom... :confused:

Igazából egy rendszer betöltését az elején mindig meg lehet fogni, akár az MBR-ben már. Nyilván igazán jó kóder kell, aki ezt össze is hozza. A kérdés tehát nem az, hogy mikor indul el a fertőző kód, hanem hogy pontosan hogyan is fog működni, hogy bekerüljön egy futó rendszerbe. Egy mbr-kódot lecserélni nem nagy ügy, de ahhoz, hogy a kód "beépüljön" a kernelbe, s működjön is, s még bújdosson is, ahhoz már tehetség kell! :smoker:
"Hey Ripley, don't worry. Me and my squad of ultimate badasses will protect you! Check it out! Independently targeting particle beam phalanx. Vwap! Fry half a city with this puppy. We got tactical smart missiles, phase-plasma pulse rifles, RPGs, we got sonic electronic ball breakers! We got nukes, we got knives, sharp sticks..."

#19 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 16. 17:21

Idézet: alvaro - Dátum: 2008. márc. 11., kedd - 21:42

fixmbr az xp install-lemezéről bootolva megoldható :)

Na de a kérdésem még mindig áll: önálló bootolású víruskereső létezik-e s micsoda (minthogy a win alatt futkosónak olyan sok értelmét nem látom, főleg így)...

Írásvédett pen? Mintha SD kártyákon (némelyiken) lenne írásvédő kapcsoló, ezt kombinálva egy USB kártyaolvasóval, az valami. De nem értem a dolog célját. Egy bootolható CD nem írható túl egyszerűen, ráadásul onnan indítva a gépet nem is fut a vírus/rootkit/egyéb állatfaj.

Persze, bútolható cd is megteszi, csak én valami olyanra gondoltam, hogy csak az a pár szektor töltődik be először, amit átír a vírus, a többi már mehet a vinyóról. Tehát pld bebootol onnan addig, amíg meg nem cselekszi, hogy a megfelelő részeket átmásolja, majd reboot, és onnantól megy minden úgy ahogy szokott a vinyóról.
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

#20 Felhasználó inaktív   Gurgula 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 470
  • Csatlakozott: --

Elküldve: 2008. 03. 16. 17:22

Idézet: Warrior - Dátum: 2008. márc. 12., szerda - 9:51

Igazából egy rendszer betöltését az elején mindig meg lehet fogni, akár az MBR-ben már. Nyilván igazán jó kóder kell, aki ezt össze is hozza. A kérdés tehát nem az, hogy mikor indul el a fertőző kód, hanem hogy pontosan hogyan is fog működni, hogy bekerüljön egy futó rendszerbe. Egy mbr-kódot lecserélni nem nagy ügy, de ahhoz, hogy a kód "beépüljön" a kernelbe, s működjön is, s még bújdosson is, ahhoz már tehetség kell! :smoker:

Akkor ezek szerint win 98 alatt nem valószínű hogy ez terjed?
Egyáltalán született már valami elfogadható ellenlépés?
Ma, 2008 márc 19.-án még semmi hír az amnesty international lapjain a tibetiek kínaiak általi terrorizálásáról.(kb. 14. óta tart) Ennyit érnek. És azok is, akik ezek után nem bojkottálják az olimpiát.

Téma megosztása:


  • (2 Oldal)
  • +
  • 1
  • 2
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó