Перейти к содержанию
TANUKI

Вирусы в BIOS ?

Recommended Posts

Motley

Кошмааар.... ;) Ну, пусть тогда думают, как перепрошивать так, чтобы после перепрошивки свободная часть памяти становилась закрытой для записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Ещё раз насчёт надёжности детекта:

* С BIOSом это не связано, но у меня установлен Norton GoBack для восстановления системы. Это настоящий руткит, который сидит в MBR, и который может вернуть всю систему назад. Никакие режимы самозащиты не помогут, если что. Я проверил с Outpost Firewall. Он якобы защищает свои настройки и свои файлы. Я поиграл с GoBack'ом, который за 1 минуту вернул настройки на старом месте и Outpost даже не пикнул, хотя HIPS был на максимум. Никто не замечает этот GoBack даже, кроме несколько специализированных анти-руткитов, которые говорят, что ВОЗМОЖНО MBR не в порядке, но на хуки и процессы указывать не могут...

* Сеть в Windows грузится раньше, чем файрвол - точно раньше, чем встроенный. Можно уже выйти, до того, как файрвол активируется если у вас соединение типа Always-On. Поэтому я советую всем: когда вы собираетесь выходить из Windows, также выходите сначала намеренно из сети, и не оставляйте всё как есть. Включите сеть только после того, как Windows и программы защиты полностью загрузились...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

У меня тут интересный вопрос появился,но попробую на примере его объяснить.

Вот стоит дача и тут приходит вирус и дача превращается в сортир.Есть 2 варианта

1.Либо дача не огорожена и туда ходят кто попало.

2.Либо дача огорожена не достаточно хорошо.

3.Ведущие к ней пути либо охраняются не достаточно хорошо.

Внимание вопрос!BIOS хотя бы как-то чем-то защищён,чтобы не пострадать от вторжения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Для корпоротивного сектора часто идут большие партии однотипных ПК, поэтому не всегда нужно писать кучу вариантов биоскитов. Хоть эти ПК часто бюджетные, но вполне современные. А какие у нас из технологий сейчас на слуху? Интересны в сабжевом ключе виртуализация и централизованное администрирование.

Дам вам небольшую выдержку:

Неплохой потенциальный инструментарий для биоскитов, а? :rolleyes:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Неплохой потенциальный инструментарий для биоскитов, а? :rolleyes:

Спрашивается: Каким образом исчезли эти 30 террабайтов данных из армии США в Китай, когда у американцев в компьютерах сидят одни запчасти из... правильно: Китая... :D

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
или именно возможность безнаказанно "стучать" хозяину зверька? А как же тогда фаер? Так или иначе инфу с компа нужно будет передать через обычные порты? Что толку если троян живет в БИОСе но передать наружу ничего не сможет?

Именно это и беспокоит :( Меня так же удручает факт, что перепрошивкой БИОСа вопрос не снимается, ибо зараза может храниться в свободной памяти, пусть даже и сделать ничего не сможет. Это для меня ну как прыщей на лице что ли :) Вроде и вреда нет, но как-то жить с ними не хочется, правда ведь? ;)

Конечно, можно надеяться, что антивирус попросту не пропустит заразу. А если вдруг пропустил? Ведь 100% детекта нет ни у кого? Что тогда? Каюк? :(

И как я могу сейчас проверить не заражен ли мой БИОС? :(

И что мне делать, что бы его защитить аппаратно? Только запретить Апдейт, как советует Umink? Этого будет достаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

TANUKI

Только без паники! :)

Не берите в голову разные веб-публикации. Не слушайте тамошние россказни!

Всё не так, как там описывается. Там пишут всякую чушь, о которой и подобные писаки и понятия не имеют.

Никто не даст в паблик реальную секретную информацию, там могут быть лишь отголоски и перетолки.

Уже всё спихнули на пресловутых китайцев, вшивающих и перепрошивающих всё и вся, а американцам верят на слово.

В посте №20 я написал, что некоторые вендоры могут модифицировать BIOS. Но какие - не сказал.

1) Реальные производители BIOS делают BIOS со стандартными параметрами, дополнения возможны только всвязи с появлением новых устройств в согласовании с производителем чипсета материнской платы. На то есть свои строгие стандарты и они им следуют.

2) Производители материнской платы могут лишь частично модифицировать BIOS всвязи со своими потребностями, добавлять туда профильные настройки, логотипы и прочую информацию, а также при помощи нехитрых приспособлений на материнской плате скрывать кое-какие параметры. Причин на то может быть множество, назову некоторые: замена официальной ревизии (версии прошивки) платы на более новую, смена частоты на более низкую, нехватка контроллеров и дорогих комплектующих, обыкновенный брак и неисправные компоненты, и мн. др.

3) Фирмы-сборщики компьютеров не могут модифицировать BIOS (иначе они сами бы её выпускали), но могут пропатчить её по причине собственной... вредности: чтобы скрыть следы брака, несоответствия некоторых параметров заявленным, чтобы был повод в отказе от гарантийного обслуживания, при изменении особенных параметров BIOS, чтобы продать заведомо слабую машину с запихнутой туда вистой (их не волнует то, что вы не сможете работать на ней, но если вы удалите её или, что для них ещё лучше, снесёте R-раздел - это будет дополнительным поводом для отказа в гарантийном обслуживании).

Опытные компьютерные техники, после истечения гарантийного срока, могут убрать все те патчи и модификации, сделанные в пунктах 2 и 3 и отключить то, что никогда не потребуется.

Никто и уже никогда не сможет реально заразить BIOS вашего любимого компьютера!

Всё, о чём пишется в веб-публикациях основывается на физическом доступе к конкретной машине и заражению MBR.

Чтобы реально заразить или даже в будущем модифицировать ваш BIOS, нужно придти к вам домой, вскрыть ПК, переписать точные данные вашей платы и версию и некоторые особенные параметры BIOS (обратите внимание - не посмотреть по монитору или программе!), а для этого может потребоваться её извлечение (обратите внимание - не все BIOS могут быть извлечены!), потом создать именно под неё персональный руткит (и взять откуда-то финансы на это делопроизводство), потом снова придти к вам домой, так или иначе вшить его в вашу плату, но не факт, что он её туда ещё сядет с первого раза и заработает как нужно злоумышленнику или даст сбой.

TANUKI

Продолжение своего рассказа пришлось отложить, чтобы Вас успокоить.

Мне показалось, что это был крик души, и я не мог пройти мимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wolf

Всем доброго дня ! Я может не по теме,но слышал со стороны, что современные Многоядерные машины защищают себя от зловредных деяний,уходя в перезагрузку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Продолжение своего рассказа пришлось отложить, чтобы Вас успокоить.

Мне показалось, что это был крик души, и я не мог пройти мимо.

Да, спасибо, вы меня успокоили :) А то всю жизнь просидел под БИОСОм без пароля. А теперь оказалось, что и он не спасает :) Но вы меня успокоили, что без физического доступа к ПК БИОСу ничего не угрожает :) Спасибо. жду продолжение рассказа :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Да, спасибо, вы меня успокоили :)

У интела есть много способов прошивать биос, например - из венды или через AMT. Есть даже утилитка в сырцах. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bogdanov Sergey

Вирусы в BIOS, не так страшны, как просто ошибки, к примеру как firmware некоторой части Seagate Barracuda 7200.11 , без всякого вируса можно потерять данные :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
У интела есть много способов прошивать биос, например - из венды или через AMT. Есть даже утилитка в сырцах. :rolleyes:

Это вы к тому, что можно снова начинать волноваться? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Intel всё-таки официальный производитель и они не скрывают того факта, что это делается и с какой целью.

Бояться надо тех, кто умалчивают об этом и делают всё исподтишка, и не покупать технику и комплектуху такого исподтишкового производства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
жду продолжение рассказа

Всего-то ведь не перескажешь... :)

Защита загрузочного сектора и флеш-памяти

Думаю, что уже все современные BIOS имеют средства диагностики и/или защиты системного жёсткого диска от вирусов, при помощи которых BIOS контролирует поведение программ, пытающихся что-либо изменить в системной области диска. Но защита, реализуемая BIOS, направлена в первую очередь против загрузочных вирусов. С помощью BIOS Setup её можно только разрешить или запретить.

Названия таких параметров зависят от версии BIOS Setup, но практически везде они входят в раздел BIOS Features или BIOS Features Setup (в Award BIOS) и Advanced CMOS Setup (в AMI BIOS).

Параметры Virus Warning (Предупреждение вирусного проникновения), Anti-Virus Protection (Антивирусная защита), Boot Sector Protection (Защита загрузочного сектора), Boot Sector Virus Protection (Антивирусная защита загрузочного сектора), Fixed Disk Boot Sector (Защита загрузочного сектора диска) имеют одинаковый смысл и одинаковые значения:

Enabled – защита включена (при этом блокируется любая попытка записи в загрузочный сектор жёсткого диска).

Disabled – защита отключена (при этом возможно проникновение в загрузочный сектор жёсткого диска).

Параметр Boot Virus Detection (Обнаружение загрузочных вирусов/Обнаружение вируса в загрузочном секторе) также имеет два параметра, но смысл его совсем другой:

Enabled - защита включена (при этом до загрузки операционной системы BIOS перезаписывает и сохраняет загрузочный сектор во флеш-память, и при следующей загрузке BIOS не будет загружать систему с жёсткого диска, если содержимое boot-сектора отличается от сохранённого в CMOS).

Disabled - защита отключена.

Параметр Flash BIOS Protection (Защита Flash BIOS) также имеет два параметра:

Enabled – защита включена (при этом микросхема Flash BIOS закрыта от записи).

Disabled – защита отключена (при этом микросхема Flash BIOS открыта для записи).

Это сделано для того, чтобы вирусы не могли испортить содержимое Flash BIOS.

Параметр SuperBIOS-Protect позволяет защитить флеш-память BIOS от перезаписи.

Enabled - защита включена (при этом ставится защита от случайной перезаписи кода BIOS по невнимательности или в результате злонамеренных действий).

Disabled – защита от перезаписи отключена.

При инсталляции операционной системы, при установке и работе некоторых программ, например, менеджеров загрузки ОС, программ типа Acronis True Image, Partition Magic и им подобных, во избежание необратимых последствий рекомендуется держать отключенными (Disabled или Normal) параметры:

Anti-Virus Protection (Enabled/Disabled)

Boot Sector Protection (Enabled/Disabled)

Boot Virus Detection (Enabled/Disabled)

Boot Sector Virus Protection (Enabled/Disabled)

Fixed Disk Boot Sector (Enabled/Disabled) или (Write Protect/Normal)

Virus Warning (Enabled/Disabled).

После установки ОС и необходимых драйверов параметры можно и нужно перевести в положение "Включено" (Enabled или Write Protect).

В некоторых BIOS реализованы сразу несколько видов защиты. Так, например, в данный момент я пишу с компьютера, в Award BIOS мат. платы которого есть параметры SuperBIOS-Protect и Virus Warning.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Андрей-001,

спасибо.

Но а что скажите про пароль на биос? он действительно бесполезен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Но а что скажите про пароль на биос? он действительно бесполезен?

Почти изначально в средства BIOS Setup ПК была включена возможность установки пароля на загрузку ОС и на доступ к настройкам BIOS.

Варианты именования пунктов меню для ввода/снятия пароля бывают разные:

Set или Setup Supervisor Password (установить пароль супервизора)

Set или Setup User Password (установить пароль пользователя)

После установки пароля наименование раздела меняется соответственно на Change Supervisor Password и Change User Password.

После установки пароля лучше всего вернуться в раздел параметров BIOS Features Setup и установить подходящее значение для параметра Security Setup (параметры защиты):

Setup (установка) – пароль будет запрашиваться при запуске BIOS Setup

System (система) – пароль будет запрашиваться перед загрузкой ОС.

Кроме того каждым вендором BIOS и почти каждым вендором материнской платы устанавливаются так называемые инженерные пароли, у которых более высокий приоритет, чем у пользовательских паролей.

Выбранный вами пользовательский пароль запоминается в CMOS, как и другие параметры BIOS, и его можно сбросить наряду с пользовательскими настройками BIOS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Да, забыл добавить, что BIOS ноутбуков существенно отличается от BIOS обычных ПК. Во всём, начиная с производителей самой BIOS и чипсета, и кончая собственно вендорами ноутов. Последние уж изголяются вовсю и во всём. А к примеру, ноуты купленные где-то в Японии или Китае, могут вообще иметь BIOS на своём языке.

У меня такие случаи были и там расположено всё совсем не так, как на английском языке.

Возможность перепрошивки на английский обычно тоже существует, но эта операция, в отличие от перепрошивки обычных ПК, требует хороших профессиональных знаний и довольно-таки дорогая.

И потому в таких случаях лучше и дешевле будет ничего там не трогать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Спасибо Андрею за ответ, но я так и не понял - бояться вирусов в БИОС или нет и ставить ли пароль на БИОС или не нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Спасибо Андрею за ответ, но я так и не понял - бояться вирусов в БИОС или нет и ставить ли пароль на БИОС или не нужно :)

1) Нет. 2) Нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
1) Нет. 2) Нет.

Paul

Спасибо, успокоили :)

Но зачем тогда даже в современных ноутах в БИОСе есть функция пароля и функция предупреждения о вирусе? У БИОСА есть свой маленький антивирус или как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
Но зачем тогда даже в современных ноутах в БИОСе есть функция пароля и функция предупреждения о вирусе? У БИОСА есть свой маленький антивирус или как?

Пароль - что бы не сбили настройки bios, а в случае кражи это хотя бы какая то минимальная защита.

Virus Warning (Предупреждение о вирусе) - разрешение этого параметра запрещает любую запись в загрузочный сектор жесткого диска без разрешения пользователя. Он введен для защиты от так называемых boot-вирусов, поражающих загрузочный сектор. Рекомендуется всегда разрешать этот параметр, но следует учесть, что, например, Windows 95/98 при установке "зависает", если Virus Warning установлен в Enable (при этом на экране появляется черный квадрат).

Boot Virus Detection (Определение вируса в загрузочном секторе) - смысл этого параметра сильно отличается от Virus Warning. Идея заключается в следующем - если этот параметр запрещен, то до загрузки операционной системы BIOS переписывает загрузочный сектор во флэш-память и сохраняет его там. После установки параметра в значение Enabled BIOS не будет загружать систему с жесткого диска, если содержимое boot-сектора отличается от сохраненного в памяти. Далее, по усмотрению пользователя, возможно либо загрузить систему с жесткого диска, либо с дискеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
но я так и не понял - бояться вирусов в БИОС или нет и ставить ли пароль на БИОС или не нужно

Вот те нате - пи в квадрате! :) Я то думал, что всё последовательно и понятно написал. dolf_ru_325.gif

Бояться не стоит, однозначно. Особенно, при использовании защитного программного обеспечения и особенно такому активному, любознательному и опытному со стажем форумчанину! :)

в средства BIOS Setup ПК была включена возможность установки пароля на загрузку ОС и на доступ к настройкам BIOS.

Пароль именно на загрузку ОС и на доступ к настройкам BIOS. Не на защиту BIOS от вирусов.

Почему, см. пост №30.

Но не стоит всё-таки пренебрегать описанными опциями в посте №39

Защита загрузочного сектора и флеш-памяти...

...см. там...

При инсталляции операционной системы, при установке и работе некоторых программ, например, менеджеров загрузки ОС, программ типа Acronis True Image, Partition Magic и им подобных, во избежание необратимых последствий рекомендуется держать отключенными (Disabled или Normal) параметры:

Anti-Virus Protection (Enabled/Disabled)

Boot Sector Protection (Enabled/Disabled)

Boot Virus Detection (Enabled/Disabled)

Boot Sector Virus Protection (Enabled/Disabled)

Fixed Disk Boot Sector (Enabled/Disabled) или (Write Protect/Normal)

Virus Warning (Enabled/Disabled).

....После установки ОС и необходимых драйверов параметры можно и нужно перевести в положение "Включено" (Enabled или Write Protect). В некоторых BIOS реализованы сразу несколько видов защиты. Так, например, в данный момент я пишу с компьютера, в Award BIOS мат. платы которого есть параметры SuperBIOS-Protect и Virus Warning.

В этом посте самое важное выделено жирным шрифтом.

Современные BIOS выполняют следующие задачи (три этапа загрузки ОС):

1) тестирование интегрированных и установленных на материнской плате устройств (POST - самотестирование после включения);

2) опознание и инициализацию устройств, подключенных к контроллерам, а также жёстких дисков и приводов CD/DVD;

3) инициализацию загрузки операционной системы.

Что теоретически могут сделать вирусы на трёх этапах загрузки ОС (см. 3 пункта выше):

1) ничего не могут;

2) кое-что могут для HDD и CD/DVD, и устройств, подключенных к контроллерам [но записью в MBR HDD];

3) могут всё что угодно.

Надо ли описывать устройство загрузочного сектора, способы записи и инфицирования MBR?

Только это займёт немало времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Но зачем тогда даже в современных ноутах в БИОСе есть функция пароля и функция предупреждения о вирусе? У БИОСА есть свой маленький антивирус или как?

В ноутах BIOS немного другая. И есть свои особенности, но они связаны с интегрированными устройствами и тем, что я описал в посте №42.

Я только умолчал о некоторых особенностях ноутных BIOS, но они не относятся к теме разговора, а больше являются нашей технической кухней. Но скажу только, что некоторые производители, скажем HP (но не только), успешно освоили и развивают HD Protection. Она реализуется на разных уровнях - начиная от кривых рук и умышленного вмешательства и до защиты загрузочного сектора HDD.

HDD есть HDD, нам ещё долго предстоит ими пользоваться, но как только серийное производство других накопителей дойдёт до массового покупателя, так и от примитивного HDD с его "слабым местом" придётся отказаться.

Преимущества SSD-накопителей перед HDD-накопителями Нам ещё мало известно о них, и если у кого-то появится новая информация, то пожалуйста поделитесь имеено там.

Новый метод защиты данных на HDD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

2 Андрей-001 и 2600,

Спасибо за терпение. :)

Вобщем, я так понял, что нужно активировать Virus Warning и Virus Boot detection, а так же сделать все, как в посте 39?

И тогда БИОС будет в безопасности :)

Но как проверить, что он уже не заражен? :)

И второе, насколько БИОС стационарников отличается от БИОСа в ноутах в плане безопасности? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

TANUKI

Вы скопируйте хотя бы мой последовательно размещённый текст с самого первого поста и распечатайте.

Понимание экранного текста намного отстаёт от печатного.

так понял, что нужно активировать Virus Warning и Virus Boot detection, а так же сделать все, как в посте 39?

Если нет менеджеров загрузки и восстановления типа Acronis True Image, Partition Magic, то после установки системы и необходимых драйверов параметры можно и нужно перевести в положение "Включено" (Enabled или Write Protect).

И тогда БИОС будет в безопасности

На сегодняшний день это самое большее, что можно сделать, чтобы не бояцця.

насколько БИОС стационарников отличается от БИОСа в ноутах в плане безопасности?

В BIOS ноутбуков есть (их немногим больше, чем в десктопниках) скрытые опции, которые могут быть включены только специалистами (это значит людьми, которые знают, что делают) при полном физическом доступе к мат. плате (джамперами и ещё кое-чем). И, кроме того, некоторые производители добавляют свои, а также успешно осваивают и развивают Hard Disk Protection.

Почему? А чтобы понять это надо знать устройство загрузочного сектора и способы записи в MBR. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×