Перейти к содержанию
АВаТар

Современные буткит-технологии и детальный анализ Win32/Gapz

Recommended Posts

АВаТар

priv8v, спасибо, теперь разобрался - что за проблемы. :)

"защита должна быть реализована достаточно глубоко" - это верно. Внутри каждой Точки Входа и самым 1-м действием кода.

"какой код ее выводит? (где этот код должен по вашей задумке быть размещен)" - первое упоминание этого кода должно находиться в MBR. Далее, во всех Точках Входа, вплоть до загрузки защищённого режима процессора.

"т.к это помешает работе некоторых легальных программ" - как по вашему, что лучше, помешать работе некоторых легальных программ, либо не загрузить Windows со зловредом на борту? Такие дилеммы с несовместимостью софта были всегда.

И да, думаю никакого зловреда мне не надо, ибо он уже умер "на кончике пера". ;)

priv8v, ещё раз спасибо. Я не знаю, что с вашим подарком делать. Разве что сдать его в музей троянских лошадей?... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

priv8v, Система под DOS, реализованная 20 лет тому назад, у меня не сохранилась ни в виде исходников, ни в виде исполнимых файлов. Перестройка, сами понимаете, и всё такое. Да и не актуально оно в том виде уже давно. Кто DOSом-то нынче пользуется?... Но все идеи и мысли - при мне, никуда не делись! Отвечу на любые вопросы. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v, спасибо, теперь разобрался - что за проблемы. :)

"какой код ее выводит? (где этот код должен по вашей задумке быть размещен)" - первое упоминание этого кода должно находиться в MBR. Далее, во всех Точках Входа, вплоть до загрузки защищённого режима процессора.

А если мбр перезаписан и винду малварь грузить и не собирается, а ей надо только текст вывести на экран? Гляньте если будет время зловреда на вирт-машине :)

"т.к это помешает работе некоторых легальных программ" - как по вашему, что лучше, помешать работе некоторых легальных программ, либо не загрузить Windows со зловредом на борту? Такие дилеммы с несовместимостью софта были всегда.

это если мы два простых частных лица, допустим, объединимся и накодим тулзу, то с нас спроса никакого - нам даже можно неподписанный драйвер при желании грязными хаками в вынь7 грузить и патх_гуард обходить. А вот даже такого безобидного никакой ав-компании делать нельзя. Нельзя и все тут.

Точно также нас мало волнует проблема юзеров у которых софт работать не будет и т.д. Понимаете, что если бы антивирусные компании считали, что "помешать работе некоторых легальных программ либо не загрузить виндоус", то НИ ОДИН бы зловред не смог ничего прописать в мбр, т.к ему бы это запрещалось бы еще на этапе CreateFile. В этом то и фишка, что просто запретить запись в мбр проще пареной репы даже уже сейчас. Юзер сам при желании может зайти в настройки антивируса и выбрать что нужно делать при попытке открытия диска на таком уровне - либо блочить, либо алерт выдавать, а юзер уже сам решит - сам он запустил тулзу или она сама из Temp стартовала во время просмотра порно-контента в инете.

Такие вот пироги...

И да, думаю никакого зловреда мне не надо, ибо он уже умер "на кончике пера". ;)

priv8v, ещё раз спасибо. Я не знаю, что с вашим подарком делать. Разве что сдать его в музей троянских лошадей?... ;)

он настолько мало весит, что на лошадь не тянет, скорее на крысу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

Несовместимость софта - это древняя как сам софт, промблемма... (©Я) :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Теперь пару слов про UEFI Secure Boot.

3-е. Цитата с Хабра. "Такая вот фигня. Сама же Secure Boot в плане защиты — сомнительная технология. Если Win 8 такая отвратительная OS, что не может сама защитить свои загрузочные записи и память периферийных устройств, то зачем вообще её использовать? Если же она не такая отвратительная, то зачем нужна Secure Boot? Защищаться от хакеров, которые ходят по домам и устанавливают своё malware с дискетки? А представьте проблемы пользователя, если вдруг malware действительно пробьёт защиту и пропишется в загрузочные записи? Это же полная недееспособность системы сразу же. Лучше ли это, чем возможность продолжать работу?" - практически мои слова! Вот и 1-й единомышленник попался! :) (Только у меня инвайта на Хабр, чтобы пообщаться с единомышленником, нету :( ) А то тут пока что почти конструктивная критика звучит...

Сборище хомячков-кармадрочеров считает себя умней MS :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

priv8v, "А если мбр перезаписан и винду малварь грузить и не собирается, а ей надо только текст вывести на экран?"

Тогда я это называю "бомба". В случае её срабатывания нужно загрузиться с альтернативного источника ОСей (CD, DVD, FlashDrive, HDD наконец, etc.) и запустить программу AntiSMS. А можно и по рабоче-крестьянски дистрибутив Windows запустить в каком-нибудь fix-режиме... Тут главное не дрейфить чинить систему самому пользователю (если она не работает уже). Видимо, скоро этот пункт войдёт в программу ликбеза юзверей-чайников: "User invalid! Replace and press any key...".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

sda "Сборище хомячков-кармадрочеров считает себя умней MS"

Право на обладание и выражение собственного мнения имеет каждый житель Земли, как нам говорит Конвенция (билль?) "О правах человека". Например, мой сосед по палате считает себя Наполеоном - ну и что?... Всем нам от этого ни горячо, ни холодно. Пускай себе считает, коли ему так считать надо.

А вы сами-то, btw что считаете? Собственное мнение по предмету имеется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
На самом деле очень мутная история, потому что никаких таких механизмов в висте не было и нет - переписанный MBR никто не восстанавливает.

81528

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Тогда я это называю "бомба". В случае её срабатывания нужно загрузиться с альтернативного источника ОСей (CD, DVD, FlashDrive, HDD наконец, etc.) и запустить программу AntiSMS. А можно и по рабоче-крестьянски дистрибутив Windows запустить в каком-нибудь fix-режиме... Тут главное не дрейфить чинить систему самому пользователю (если она не работает уже). Видимо, скоро этот пункт войдёт в программу ликбеза юзверей-чайников: "User invalid! Replace and press any key...".

вот про то и речь, что в таком случае особо делать нечего. (аналогичную бомбу я для демонстрации и скинул вам в ЛС, кстати)

надо все ловить на этапе работы с вынь-апи функциями в самой ОСи (когда малварь только пытается что-то записать по первым байтам... ). Так что если и дальше будет также продолжаться, то антивирусы будут вынуждены создать нормальный механизм определения того малварь это делает или нет (система скорее всего будет основана на коомбинации вайт-листа, облака, подписей, анализа цепочки поведения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

priv8v, "надо все ловить на этапе работы с вынь-апи функциями в самой ОСи" - это хорошая тема, но другого разговора уже. "Всех ловить, держать и не пущщать!" слышали уже, и не раз... Я пока постою от этого в стороне. И так у меня своих дел хватает... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda "Сборище хомячков-кармадрочеров считает себя умней MS"

Право на обладание и выражение собственного мнения имеет каждый житель Земли, как нам говорит Конвенция (билль?) "О правах человека". Например, мой сосед по палате считает себя Наполеоном - ну и что?... Всем нам от этого ни горячо, ни холодно. Пускай себе считает, коли ему так считать надо.

А вы сами-то, btw что считаете? Собственное мнение по предмету имеется?

А мне достаточно мнения Тони Мангефеста http://blogs.msdn.com/b/b8_ru/archive/2011/09/26/uefi.aspx и своих практических наблюдений за UEFI, а не бред кармодрочеров погромистов и админисраторов со Швабра :facepalm:

_____.jpg

post-6726-1361193559_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Давайте жить дружно :)

Если уж говорить кому что хочется и что должно быть в идеале, то мне хотелось бы чтобы до MBR-а можно было добраться только из ядра, а туда может пробраться только подписанный драйвер (либо загруженный грязным хаком). Т.е проблему бы свели к следующему:

1. Не допустить зловреда в ядро (т.к если допустим, то хана, независимо от того пишет он в мбр или нет) - эта проблема стоит и сегодня вовсю, так что новой проблемы мы не прибавим :)

2. Кто ни попадя не будет редактировать мбр.

3. Если мбр все-же нужно самому хозяину компа редактить, то нужно кой чего настроить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

MBR скоро станет историей.

Кстати, очень хчоется послушать про

malware действительно пробьёт защиту и пропишется в загрузочные записи
. С примерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар

Alex_Goodwin, Можно узнать, к кому вы обращаетесь? Мне что-то ничего не понятно. Может быть, ваш предыдущий пост попал сюда по ошибке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья Рабинович, вы правильно мыслите. Для того, чтобы справиться с внедрённой самозащитой, зловреду будет необходимо знать эту защиту "в лицо" - так же, как и антивирус "знает" вируса. :) Так пусть они ведут свои базы защиты! Моя идея - не дать зловреду загрузить ОС, если он не передаёт управление "моей" защите.

Ну, ладно, не хотел говорить на паблик, но раз пошла такая пьянка... Вредонос может хранить в себе варианты стандартного загрузчика Windows, передавать управление уже на него сразу, без работы с сохранённым "защищённым" загрузчиком, модифицируя необходимые таблицы с данными прямо в памяти. И пойдёт ваша защита гусей ловить по лесу. В примерно 90-95 процентах случаев вышеозначенный метод сработает, а больше для выкачивания денег и не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар
Ну, ладно, не хотел говорить на паблик, но раз пошла такая пьянка... Вредонос может хранить в себе варианты стандартного загрузчика Windows, передавать управление уже на него сразу, без работы с сохранённым "защищённым" загрузчиком, модифицируя необходимые таблицы с данными прямо в памяти. И пойдёт ваша защита гусей ловить по лесу. В примерно 90-95 процентах случаев вышеозначенный метод сработает, а больше для выкачивания денег и не нужно.

Я с вами согласен. Это было уже всё продумано. Для 100% защиты - код самозащиты должен был быть внедрён во все свои внутренние модули загрузки ядра самой MS! Просто MS нужно было написать такой загрузчик сразу! Чтобы не существовало в принципе того, что есть у них сейчас. Но на самом деле, ещё не поздно им самим выпустить такие патчи, реализующие это дело. А т.н. "стандартный загрузчик Windows", который имеется сейчас, должен кануть в Лету. (А может, и к лету?... :) )

ЗЫ. По-моему, здесь можно говорить обо всём? Или я не правильно себе представляю положение вещей?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

Правильно ли я понимаю, что под учетной записью ограниченного пользователя Windows загрузочные сектора защищены?

Т.е. лучшая защита от таких зловредов - работа без прав админа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А т.н. "стандартный загрузчик Windows", который имеется сейчас, должен кануть в Лету.

Ну пусть он канул в Лету к лету. Что помешает вредоносописателям написать свой собственный загрузчик? Сложность не сильно большая, профит достаточно большой при реализации схемы активного противодействия. Да и обычный загрузчик от МС, в общем, никуда уже не деть, он есть и работает. В общем, резюмируя, всё сводится к простой формуле: "защита будет работать ровно до тех пор, пока не получит сколь-нибудь значимую популярность".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
ЗЫ. По-моему, здесь можно говорить обо всём?

не нужно рекламировать гербалайф, распространять кряки и детскую порнографию, разжигать флейм и ругаться нехорошими словами. а так да, говорите :)

ЗЫ: Илье Рабиновичу, в принципе, вообще пофиг на запись в мбр, он поддерживает диалог только по приколу, т.к в его продукте недоверенным приложениям накроется медным тазом такое даже обращение к жесткому диску. я прав ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Правильно ли я понимаю, что под учетной записью ограниченного пользователя Windows загрузочные сектора защищены?

Т.е. лучшая защита от таких зловредов - работа без прав админа?

Всё верно, по крайней мере при запуске Gapz, идёт запрос системы безопасности, на запуск от администратора, отказываем, враг не проходит, но вот UAC почему то молчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Alex_Goodwin, Можно узнать, к кому вы обращаетесь? Мне что-то ничего не понятно. Может быть, ваш предыдущий пост попал сюда по ошибке?

Я обращался к тебе, как к топикстартеру. Мне кажется, без конкретных примеров реализации, весь твой топик - ошибка.

Еще раз резюмирую: MS никогда ничего подобного предлагаемому делать не будет. Диски с MBR отомрут достаточно скоро. Будет так http://ru.wikipedia.org/wiki/Таблица_разделов_GUID

Предлагаемая защита без резидента в ОС крайне легко сносилась бы, с резидентом - обходилась. Смысла в ней 0.

Так что ждем что-то более конкретного, чем абстрактные рассуждения про времена DOS. Либо все это флейм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар
MBR скоро станет историей.

Кстати, очень хчоется послушать про ???. С примерами.

Кстати, а кто сказал, что "malware действительно пробьёт защиту и пропишется в загрузочные записи"?

Общеизвестно, что идеальной защиты не существует. Любая защита может быть пробита. Цена вопроса - количество ресурсов, которые придётся на это потратить. Так что, если это кому-то настолько нужно, то "malware действительно пробьёт защиту и пропишется в загрузочные записи".

"Я обращался к тебе, как к топикстартеру. Мне кажется, без конкретных примеров, реализации, весь твой топик - ошибка."

Вот конкретный пример. 92-93 год. Написал на асме свой загрузчик DOS, реализующий все функции стандартного загрузчика, плюс самозащиту с выдачей предупреждения о заражении и предложением излечиться от заразы. И всё это в одном MBR. Пришлось попотеть над упаковкой такого функционала в столь малый объём кода и данных. Но в конечном итоге, всё получилось. Самозащита получала адрес обработчика дискового прерывания методом динамической трассировки. Затем уже пользовалась в своей работе исключительно этим адресом, находящемся в адресном пространстве BIOS. DOS грузился замечательно. Заразил HDD каким-то (безымянным) boot-вирусом загрузкой с заражённой дискеты. Стал загружаться с HDD, на экран вышла фраза из моего загрузчика "Boot virus! Cure? Y/N". Ответил 'N' - DOS загрузился с вирусом-резидентом в ОП. Перегрузился, и вновь тот же вопрос. Я ответил 'Y'. DOS загрузился без вируса-резидента. Потом, этот трюк с дискетой был повторен на множестве компьютеров с разными BIOSами, но с теми же результатами.

"Еще раз резюмирую: MS никогда ничего подобного предлагаемому делать не будет. Диски с MBR отомрут достаточно скоро. Будет так http://ru.wikipedia.org/wiki/Таблица_разделов_GUID

Предлагаемая защита без резидента в ОС крайне легко сносилась бы, с резидентом - обходилась. Смысла в ней 0.

Так что ждем что-то более конкретного, чем абстрактные рассуждения про времена DOS. Либо все это флейм."

Так если тебе всё уже известно, зачем ты тут пишешь что-то? Всё ещё "очень хчоется послушать про ???". Извини, но ты уже ничего не слышишь вокруг, только себя. И пока ты ждёшь чего-то "более конкретного", сегодняшний день проходит мимо тебя. Это было моей последней попыткой обратиться к тебе. Ты безнадёжен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Цена вопроса - количество ресурсов, которые придётся на это потратить.

Примерно пару человеко-месяцев на разработку, ещё столько же на тестирование в разных конфигурациях. С гарантированным получением нужного результата. Так что моё мнение осталось таким же, как и было.

ЗЫ: Илье Рабиновичу, в принципе, вообще пофиг на запись в мбр, он поддерживает диалог только по приколу, т.к в его продукте недоверенным приложениям накроется медным тазом такое даже обращение к жесткому диску. я прав ? :)

Частично. Да, запись в открытый объект "физический либо логический диск" (равно как и чтение оттуда) со стороны недоверенных процессов заблокированы. Но поддерживаю я диалог не по приколу, а потому что я эксперт портала. А это налагает некоторые дополнительные обязанности, которые входят в комплект с дополнительными правами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВаТар
Примерно пару человеко-месяцев на разработку, ещё столько же на тестирование в разных конфигурациях. С гарантированным получением нужного результата. Так что моё мнение осталось таким же, как и было.

А как думаешь, можно повысить этот барьер на порядок? В принципе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А как думаешь, можно повысить этот барьер на порядок? В принципе...

Да, интеграцией защиты в код начальной загрузочной программы, что возвращает нас к идее UEFI Secure Boot. Пробить такое значительно сложнее, хотя одна идейка у меня на этот счёт имеется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×