Страшные и ужасные бирусы - избранное

Maba
Вы про SMM видимо не в курсе? Разжевывать недоучкам не намерен (открывается хотя бы любая книжка тов. Гука по процессорам и читается)
Кончайте детский сад, а? Да, и научитесь писать грамотно. Если покажете какую-либо заинтересовать или широту познаний - тогда можно поговорить конкретнее.

Конечно, клиент ни сном, ни духом. Ни байтом, ни полу-байтом. Не слышал и не участвовал. Но менторского тона хватило поучать всех и вся. В песочнице самое место этому разговору!

хех.. имхо уж больно нагло может этто подставваа? чё там по IP-шникам?

Диагноз:
Профильный студент, 3/4-й курс. Им уже начали читать ASM и архитектуру x86. Архитектуру, правда, на примере 386, про защищенный режим он скорее всего в курсе, но про SMM - им не читали ни слова. Даташиты никогда не видел и пока что видеть не хочет. Вариант - херово владеет техническим английским. На базе знаний ASM скорее всего может написать резидента/вируса под DOS (нынешние ширпотребные вирусы под Win - может написать и ребенок). Считает, что может написать хотя бы свой DOS, хотя вряд ли даже попытается. Ну, что еще сказать?

Сам таким был. Правда в том самом "далеком 95-м", и ниспровергать авторитеты желания не было, да и высказаться негде было, а уж даташитов найти...

Santa
развод на эксплойт типа proof-of-concept.
Но настоящие ромбоводы не ведутся!!!!

Не, слишком тупо...

Интересно было бы вчитаться в код, так, для оценки и общего развития, что-ли...

А во что вчитываться? В перехватчик-обработчик SMM? В алгоритм внедрения блока в биос? В алгоритм считывания/прошивки биоса с размапливанием чипсета? Или в алгоритм собссно взаимодействия с осью (ФС, ядро и т.д.)? Да, все в комплексе очень сложно на первый взгляд (ибо много кода) - но отнюдь не невозможно. И многое из этого собссно уже реализовано - разве что не в виде злобного бируса, а в виде весьма полезного софта...

Сомнения возникают разве что насчет реализованности (не столько ввиду сложности, сколько ввиду специфики задач) прозрачного обработчика SMM (хотя тематический андеграунд на предмет его не изучал, да и задача выглядит кстати несложной), и работу с ядром винды/линукса из SMM (с популярными ФС разобраться как раз жутко сложным не представляется).
Кстати, строго говоря, бирус вполне живучим будет и без SMM и работы с ядром (работа с ФС + драйвер-руткит + собссно тело) - другое дело, что обнаружить/вылечить легче будет...

Даешь Dr.Web's cureit! с базой всех материнских плат на территории России и её областей...

Ну, Вы поняли. С дискетки досовской с первого запуска - внедрение в БИОС и чуткие, но несомненные и постоянные проверки...

ну давайте поржом вместе

вирус в оброботчике SMI? _незаметный_ ? это когда процу обнуляют кэш и регистры а потом восстанавливают? это будет пипец как незаметно, только ваш core 2 duo станет очень похож на i286 по производительности

основная ось в sandbox? а драйвера к виртуальным девайсам вы в комплекте поставлять будете? или может быть вы знаете как незаметно поделить аппаратные ресурсы? да и менеджер сандбокса в BIOS в качестве вируса - это тоже круто

ну давайте спойте мне про iCore - там аппаратная реализация и разделение доступа к аппаратным ресурсам есть