Новый невидимый руткит от Рутковска (миф или реальность?)

[Bruce]

как будто в винде нельзя разбираться. или в опенбсд, или в вмс. или взять спектрум и на z80 пописать на асме.

Линукс - это лишь средство. Сам по себе знаний/идей он не даёт. И юзание линукса желание разбираться вовсе не показывает. Рекомендую статью всё-таки почитать эту

[Uncle_Theodore]

Само по себе знаний не дает ничто. Но я и не про это говорил.
Вы понимаете, в чем дело... Когда кто-то становится в позу "Вот я чего-то знаю, а Вы, прежде чем со мной общаться, почитайте вот тут-то и там-то, или хотя бы в Гугл сходите, а вот потом уже поймете как оно все на самом деле" -- он выглядит смешно. Если у Вас есть какие-то аргументы по поводу заявленной темы обсуждения, сделайте милость, приведите их открытым текстом. А то Ваше надувание щек, возможно, и доказывает лично Вам как Вы умны и осведомлены во всем на свете, но вот остальных оставляет в полном на этот счет неведении...

[Bruce]

Ну почему, все правильно. Разработана теория гарантированной победы сферической лошади в вакууме.

А это подтверждать не надо? Для начала можно было бы хотя бы разобраться о чём идёт речь и как оно будет работать.

Просто если я начну чего-то доказывать -- буду цитировать blue-pill.doc от того же Криса Касперски. А его тут не уважают. Причём статья уже годичной давности

зы. я понимаю, что ссылки, в общем-то, надо привести. Но мне кажется что

показывает желание разобраться

, если оно конечно есть, само направит в гугл, наберёт одну строчку (3 слова) и получит все ответы.

зыы. под впечатлением от ежедневного чтения phrack, поэтому от людей требую больше.

[Goodvin]

под впечатлением от ежедневного чтения phrack, поэтому от людей требую больше.

Прежде чем что-то начинать требовать от других - надо начать требовать с себя, для начала приведя аргументы СВОИХ заявлений и высказываний.
А то начинает казаться, что результатом "ежедневного чтения phrack" наступает лишь осознание собственной исключительности, значимости и непогрешимости.
А это нехорошо.

[vinny]

зыы. под впечатлением от ежедневного чтения phrack, поэтому от людей требую больше.

хм... ну, если безопасность ваше всё -- это замечательно, только не надо нас пугать. мы и без вас все параноики списком. ага. и если по вашим рекомендациям "вникнем и изучим", то это возможно, вызовет массовые самоубийства в наших рядах... вы этого добиваетесь? или просто хотите отравить нам последние полгода спокойного чтения БОРа? (:
пысы. Криса уважаю. статью не читала, но верю, что он здорово нагнал на всех страху... и поднял продажи своих продуктов (книг и телескопов) (:

[Bruce]

аргументы СВОИХ заявлений и высказываний.

замечательно ) если по ссылкам не ходим - объясняю.

Суть невидимости этого руткита заключатся в том, что во-первых, изобрели способ загрузки в висту неподписанных дров (не то чтобы безпроблемный, но похоже работает).

Во-вторых, суть руткита заключается в том, что, став драйвером, он отправляет операционную систему из реальной работы на процессоре в аппаратную виртуальную машину, которая идёт от новых процессоров intel/amd. При этом все подробности реально происходящего регулируются супервизором (тем, что остаётся работать без виртуального режима). В результате скрыть можно абсолютно что угодно (но при этом писать приходится миниатюрную операционную систему), весь вопрос в сложности написания. Как напишут под висту - точно так же можно и подо что угодно написать.

Способов обнаружения того, что операционная система работает не на настоящем процессоре, с учётом супервизора, скрывающего всё, что угодно, до сих пор _не_ _известно_.

У меня вопрос. Зачем постоянно требовать перепечатки материалов и мыслей чужих документов вместо того, чтобы сходить да почитать оригинал, где всё распишут более подробно?

[Jay]

Кстати, напомню сообществу (в основном, тем кто уже не застал MS DOS и Win 3.11), что такие вирусы уже были
Вот вам ссылки на описание Virus.DOS.PM_Wanderer
http://www.viruslist.com/ru/viruses/encycl...ia?virusid=8675
http://www.ci.ru/inform10_97/sald.htm

Так что, мы находимся на новом витке истории.

[vinny]

реальная теория, если будет реальная реализация (гы-гы) - то наступит полный капец. Висте первой, и потом, если портируют на линух - будет полный пипец

просто мы не верим в "полные пипецы"... вот и не ходим по ссылкам, т.е. безопасность не наш конёк, и руки у нас не потеют от страха, что кто-то проникнет на наш компьютер... вот и не читаем phrack ):

[Bruce]

ну если не ваш конёк, зачем тогда высказывать откровенно идиотские соображения в этом направлении?

[Георгий]

Щит и меч соревнуются веками. Я понимаю, что фраза избитая, но она очень близка к реальности. Предположим руткит будет выполнять роль виртуальной машины. Это не вызовет падения мощности? Куда он будет писаться? Скорее всего на диск. Значит можно загрузиться с лайвСД и проверить комп. Из самого процессора?(Предположим. ) тогда появится антивирус для процессоров. Я не спорю, что новый руткит возможен - вам виднее. Но все равно будет придуман способ его обнаружить. Кстати в эксперименте предлагается проверять с помощью программ. А если за проверку возьмется специалист с набором софта и опытом работы?
Добавлю так же что для управления компьютера нужно как-то передать инфу, а это тоже можно отследить с помощью другой машины. И еще неизвестно насколько все это будет сложно.;-)

[sergeyvp]

Так руткиты - это её изобретение, или совпадение?

Если вы имеете ввиду созвучность фамилии с названием, то вот http://ru.wikipedia.org/wiki/Rootkit
То есть её фамилия к названию руткит никакого отношения не имеет.

[Георгий]

нагуглил.
http://www.ixbt.com/cm/virtualization-h.shtml

В начале 2006 года в лабораториях Microsoft Research был создан руткит под кодовым названием SubVirt, поражающий хостовые системы Windows и Linux и делающий свое присутствие практически не обнаруживаемым. Принцип действия этого руткита заключался в следующем:
Через одну из уязвимостей в операционной системе компьютера вредоносное программное обеспечение получает административный доступ.
После этого, руткит начинает процедуру миграции физической платформы на виртуальную, по окончании которой происходит запуск виртуализованной платформы посредством гипервизора. При этом для пользователя ничего не меняется, все продолжает работать, как и раньше, а все средства и службы, необходимые для доступа к гипервизору извне (например, терминального доступа), находятся за пределами виртуализованной системы.
Антивирусное программное обеспечение после осуществления процедуры миграции не может обнаружить вредоносный код, поскольку он находится за пределами виртуализованной системы.

Вообщем ничего нового.

[vinny]

ну если не ваш конёк, зачем тогда высказывать откровенно идиотские соображения в этом направлении?

простите, больше не буду. я же не знала, что у вас монополия на идиотские высказывания на этом форуме... могли б и предупредить... или в подписи указать... или как у вас в жж написано:

тезис дня
Мар. 14, 2007 | 04:14 pm
надо хакать!
ссылка | Оставить комментарий | Add to Memories | Tell a Friend

ну, чтоб все понимали с кем имеют дело и боялись... а то вот вам газпром денег на ноут подкинул, а вы его не по делу используете... ):

[(asper]

А если у мну старое железо, например dual pIII (это двухпроцессорная матплата такая) или скажем p4 prescott (в котором ещё не были введены новые технологии) , можно спать спокойно ?
PS: Вини , кстати, Жжошь !!!

[t.t]

ну если не ваш конёк, зачем тогда высказывать откровенно идиотские соображения в этом направлении?

Хм.. А помнится, есть такая теорема, о невозможности написания абсолютно невзламываемой защиты. Так об абсолютно необнаружимых руткитах и вирусах можно сказать примерно то же самое. Т.е. если вирус не будет выходить за пределы виртуализационной прослойки -- ни в реальную ОС, ни в виртуальную -- то только поэтому его и обнаружить не удастся. Эдакая "вещь в себе"; теоретическое обоснование возможности существования, не более. На чём, собственно, и базируется её абсолютная неуязвимость _на данный момент_. Потому как кто мешает какой-нибудь госпоже Антирутковской за шесть месяцев и 380тыс. американских денег написать приблуду, которая будет работать в той же самой прослойке и приблуду (пока теоретическую, замечу) госпожи Рутковской обнаруживать?..

[Bruce]

t.t, теория, теория. А люди дело пишут. Я в том смысле, что надо быть в курсе чего, как и почему происходит или собирается иметь место быть.

Плюс много о чём не заявляется в открытую.

можно спать спокойно

через пару лет прогресс в виде друга с той же лестничной площадки ударит по лицу жабой.

не по делу использует

дальше должны быть нецензурные высказывания с моей стороны и посыл далеко за rtfm.

[(asper]

можно спать спокойно

через пару лет прогресс в виде друга с той же лестничной площадки ударит по лицу жабой.

Э-э Я есть плёхо понимать, на алпанский переведите плиз

[vinny]

через пару лет прогресс в виде друга с той же лестничной площадки ударит по лицу жабой.

ну... как вам сказать... я просто не держу на компе ничего такого, что может быть интересно другу по лестничной площадке. и всё делаю из расчёта, что совершенных защит нет.
пысы. про соседа... видимо, это детские комплексы, т.е. чем раньше ему набьют за это лицо, тем лучше, ибо мы вот как приличные люди хакеров в суд водили, а в мск было принято всё решать на месте... двумя ударами кувалды по кистям рук. зрелище не для слабонервных, даже от фоток передёргивало. видимо, вы не застали, так как вам тогда 9 лет было...

[Bruce]

ну... как вам сказать... я просто не держу на компе ничего такого, что может быть интересно другу по лестничной площадке. и всё делаю из расчёта, что совершенных защит нет.

кхм кхм. перевожу (раз люди не на волне): через пару лет кореш поставит какую-нибудь коре кваду 4ггц, на которой летает всё и полный пипец. У людей, как и обезьянок, есть мания подражать. А ещё есть жаба, которая убила много людей. И зависть. Всё вместе не есть гуд

[vinny]

ну... как вам сказать... я просто не держу на компе ничего такого, что может быть интересно другу по лестничной площадке. и всё делаю из расчёта, что совершенных защит нет.

кхм кхм. перевожу (раз люди не на волне): через пару лет кореш поставит какую-нибудь коре кваду 4ггц, на которой летает всё и полный пипец. У людей, как и обезьянок, есть мания подражать. А ещё есть жаба, которая убила много людей. И зависть. Всё вместе не есть гуд

про жабу-убийцу очень страшно... и ещё есть проблема незрелой подростковой психики и неспособности найти средства для самореализации, т.е. очень хочется куда-то залезть и почувствовать себя богом, но вот как только залез... ты уже всем доказал, что:
1. тебе делать нечего
2. ты никому не сгодился под нормальные задачи
3. не умеешь общаться с людьми и работать в команде, т.е. не догнал, что как аукнется, таки отрыгнется.
4. больше ты не бог и не охотник, теперь ты еда для кого-то.
пысы. если напасть на среднеазиатские серьёзные конторы, то нужно привыкать представлять себя пловом (:

[(asper]

кхм кхм. перевожу (раз люди не на волне): через пару лет кореш поставит какую-нибудь коре кваду 4ггц, на которой летает всё и полный пипец. У людей, как и обезьянок, есть мания подражать. А ещё есть жаба, которая убила много людей. И зависть. Всё вместе не есть гуд

ну не обобщайте и не судите по себе. Может быть десктопом я себе и восьмиядерный поставлю (хотя соседа нету у меня), но сервак будет крутиться на старом железе и все бакапы и ценную инфу хранить буду на нём на raid5+lvm (как минимум) , всё решено

[Bruce]

я по себе и не сужу, вообще-то. я сужу по собственному представлению о людях.

[t.t]

я по себе и не сужу, вообще-то. я сужу по собственному представлению о людях.

Представление о людях тоже меняется с возрастом

[Bruce]

ну да, одно лишь вечное нудение и опускание идей рулит в любом возрасте.

зы. спецом поищу цитату из "12 обезьян" на эту тему.

зыы.

{39598}{39647}Take germs for example.
{39649}{39711}- Germs ?|- Uh-huh.
{39713}{39807}In the eighteenth century,|no such thing. Nada. Nothing.
{39809}{39868}No one ever imagined such a thing !|No sane person anyway.
{39870}{39973}Along comes this doctor.|Uh, uh--
{39998}{40048}Semmelweis !
{40050}{40098}Semmelweis.
{40100}{40207}Semmelweis comes along and|he's trying to convince people,|other doctors mainly,
{40208}{40283}that there are these teeny, tiny,|invisible bad things called germs...
{40284}{40346}that get into your body|and make you sick.
{40348}{40414}He's trying to get doctors|to wash their hands.
{40416}{40465}What is this guy ?|Crazy ?
{40467}{40558}Teeny, tiny, invisible "what do you|call 'em ? Germs ? Huh ? What ?"
{40560}{40629}Now, cut to|the twentieth century.
{40630}{40759}Last week as a matter of fact,|right before I got dragged|into this hellhole !
{40761}{40881}I go in to order a burger|in this fast-food joint.|The guy drops it on the floor.
{40882}{40940}Jim, he picks it up,|wipes it off.
{40942}{40995}He hands it to me|like it was all okay.
{40997}{41077}"What about the germs ?" I say.|He says, "l don't believe in germs.
{41079}{41182}Germs are a plot they made up so they|can sell you disinfectants and soaps."

переводить не буду.

зыыы. что та цитата из phrack, что фильм этот - 1996 год. с тех пор стало только хуже.

[Uncle_Theodore]

Ну почему, все правильно. Разработана теория гарантированной победы сферической лошади в вакууме.

А это подтверждать не надо? Для начала можно было бы хотя бы разобраться о чём идёт речь и как оно будет работать.

Это написано самим автором. Правда, немного в другой форме.

Брюс, правила ведения цивилизованной дискуссии предполагают во-первых, выражение свое мнение в явной форме и подкрепление своей точки зрения аргументами. Во-вторых, предполагается, что участники дискуссии не будут переходить на личности и не будут напрягать собеседника, намекая на его неосведомленность или глупость.
Пользуясь случаем, хочу отметить, что Ваша манера общения в этой и других темах не соответствует этим правилам. И настоятельно советую Вам ее изменить. Во избежание.

[Bruce]

да избежание скоро настанет, не волнуйтесь

зы