Перейти к содержанию
p2u

Рутковска покажет страшный SMM руткит

Автор p2u, в Общий форум по информационной безопасности

Recommended Posts

p2u    824

p2u
Опубликовано

К сожалению на русском пока не нашёл. Пользуйтесь переводчиком:

http://www.networkworld.com/community/node/39825

В четверг, Джоанна Рутковска собирается выпустить официальный документ, в котором описывается как можно эксплуатировать механизм кэша Intel® процессоров для установки SMM (процессорный) руткит...

От меня: SSM = System Management Mode = Режим Cистемного Управления. Такой руткит работает только в защищённой части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Однако нахождение кода в этом сегменте памяти даёт атакующему полную картину того, что происходит данный момент времени в оперативной памяти компьютера.

Автор: Cisco Security Expert - Jamey Heary:

This is the scariest, stealthiest, and most dangerous rootkit I've seen come around since the legendary Blue Pill! No, I'm not just trying to sensationalize this or spread fear, uncertainty and doubt. This is serious and represents a massive new security threat for us all.

Работающий эксплойт был написан уже за несколько часов...

Здесь адрес блога Рутковской - возможно она документ там раньше публикует: http://theinvisiblethings.blogspot.com/

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ego1st    95

Ego1st
Опубликовано

эх, надо срочно учить англ. язык, походу там самую интересную инфу можно нарыть..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано

Эту уязвимость сотрудники Intel® сами уже раскрыли в 2005 г., кстати...

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано

http://theinvisiblethings.blogspot.com/

Документ 'Attacking SMM Memory via Intel® CPU Cache Poisoning (March 2009)' в формате .pdf + код доступны здесь

P.S.: Код, который выложили НЕ содержит ничего вредоносного и НЕ установит у вас руткит. ;)

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      прогресс теперь графически отображается на плашке окна, проценты в заголовке больше не нужны, убрано все лишнее что влияло на производительность. Если нет реестра это проблема и с ней надо разбираться, а если есть то он подключен и анализируется.
        что значит поиском по эцп? по имени подписавшего файл или по сертификату или по хэшу сертификата.
        В прошлых версиях оно выводилось в 2х кодировках последовательно, что просто забивало лог мусором,  причем в разных системах правильная кодировка своя я опрометчиво решил, что нашел способ выбирать правильную, но оказывается в 7ке все не так как в младших и старших системах, придется для нее прописывать кодировку отдельно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] В прошлых версиях - всё читается нормально.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      1. По поводу реестра - важнее, что было найдено. Если реестра\копии нет... 2. Проценты те, что были в прошлых версиях при массовой проверке на V.T. https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=129963&width=500&height=500 3. Например есть файл подписанный некой ЭЦП. но... данного файла пока нет на V.T. т.е. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. искать не только по имени объекта -  но открывать сразу две страницы - одну с точным поиском по имени. другую с точным поиском по ЭЦП.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это нормально, реестр для псевдопользователя "All users" бывает редко, для чего системе он нужен, я не разбирался еще, но он бывает, теперь при отсутствии пользовательского реестра выдается такое сообщение, как и в случае если реестр поврежден.
      Т.е. в этом случае сообщение можно смело игнорировать.
        о каких % речь?
        Подробнее, что именно искать и зачем?
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Я не вижу % при массовой проверке файлов на V.T. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. Я бы добавил поиск по ЭЦП
×