Найден способ перехвата управления при загрузке Windows 7 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Найден способ перехвата управления при загрузке Windows 7

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

На конференции по безопасности Hack In The Box в Дубаи исследователи Випин и Нитин Кумар продемонстрировали метод захвата контроля над системой Windows 7 путем изменения процесса загрузки. Впрочем, для этого необходим физический доступ к компьютеру, что несколько снижает масштабы угрозы.читать дальше

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

В качестве дополнения к заметке

Выдержки из интервью с авторами VBootkit (буткит для Vista):

...Vbootkit очень похожа на дверь или на ярлык доступа к ядру Windows Vista. Загрузочный комплект - это набор ядра, который способен запуститься с загрузочных секторов (главная загрузочная запись, CD, PXE, флоппи-диск и т.п.) и полностью сохраниться в памяти через переход в защищенный режим, а затем запустить ОС. ... Vbootkit - это специальный буткит для Windows Vista.

...Он построен на "таранной" концепции. Так что он ни при каких обстоятельствах не касается жесткого диска и потому не оставляет никаких доказательств. Вам нужно только перезапустить систему, работающую с vbootkit, и он исчезнет, как будто его никогда и не было.

...он будет работать практически на всех выпусках Vista, в том числе и на локализованных, но это потребует небольшой настройки. Скорее всего, он будет поддерживать и Windows Vista Service Pack 1...

...мы не выложим код для vbootkit, но мы обеспечим им некоторых производителей антивирусов.

Однако, вы можете загрузить предыдущие версии буткита (для Windows 2000/XP/2003) с нашего сайта. Программный код также доступен.

Если вы интересуетесь демо-версией, то вы можете найти ее описание (PDF), слайдшоу с нашей презентации (PPT) и видео, показывающее vbootkit в работе (AVI 1, AVI 2)...

...В настоящее время многие антивирусные решения не сканируют загрузочные данные. Мы не получили от них никаких официальных комментариев...

...Нападающему необязательно его устанавливать, с этой целью его и разрабатывали. Надо всего лишь поместить носитель с vbootkit (в загрузочном секторе содержится vbootkit) в систему и начать загрузку. После того, как Windows Vista загрузится, вы можете проверить работу vbootkit, повысив изначально низкий уровень доступа cmd.exe до системного...

...Вот упрощенная последовательность действий:

BIOS --> код Vbootkit (с CD, PXE и т.п.) --> MBR --> загрузочный сектор NT --> Windows Boot manager --> загрузчик Windows --> ядро Windows Vista.

...vbootkit может быть использован как долгоживущий вирус для загрузочного сектора. Даже некоторые антивирусные производители перестали обращать внимание на вирусы для загрузочного сектора. Он может возобновить их использование.

Читать веб-документ >>>

Скачать PDF-документ для ознакомления >>>

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×