После форматирования диска троян не удаляетса, После форматирования диска троян не удаляетса |
|
Здравствуйте, гость ( Вход | Регистрация )
После форматирования диска троян не удаляетса, После форматирования диска троян не удаляетса |
25.11.2009, 1:59
Сообщение
#41
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
ничего что некоторые посты обозначены 2008-м годом? :D
и что за волшебная "служебная дорожка" такая? |
|
|
25.11.2009, 2:13
Сообщение
#42
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата и что за волшебная "служебная дорожка" такая? smile.gif Это из Орлушиных сказок на тему трояна в Windows7 под названием "Служба Windows Search", которая, как известно, не отключается ;) лол. |
|
|
25.11.2009, 19:08
Сообщение
#43
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
ничего что некоторые посты обозначены 2008-м годом? :D и что за волшебная "служебная дорожка" такая? Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу: А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала; В этом случае можно посоветовать следующее: 1. Обратится к проиводителю 2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу. Цитата и что за волшебная "служебная дорожка" такая? smile.gif Это из Орлушиных сказок на тему трояна в Windows7 под названием "Служба Windows Search", которая, как известно, не отключается ;) лол. Сообщение отредактировал STamm - 25.11.2009, 19:11 |
|
|
26.11.2009, 1:54
Сообщение
#44
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу: А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала; советую вылезти из бункера, на дворе уже конец 2009-го года более того, убивает это: Цитата 2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу. на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr). Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... ) |
|
|
26.11.2009, 2:01
Сообщение
#45
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
советую вылезти из бункера, на дворе уже конец 2009-го года В этой книжке устарело отнюдь не всё.Цитата более того, убивает это: А нет ли хака, позволяющего записать туда помимо данных исполняемый код и затем использовать какой-нибудь неконтролируемый буфер в БИОСе? Вы точно знаете формат команды записи информации на служебную дорожку: она содержит только жёстко фиксированные поля?Цитата 2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу. на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr).Цитата Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... ) Куда именно может записываться такой вирус, Бог знает... Может и не в ОЗУ, а, например, во флэш-память, если она не закрыта для записи аппаратно, потом переписываться в "тень" БИОС и активироваться при определённых условиях, например вызове недокументировнной функции...
|
|
|
26.11.2009, 5:42
Сообщение
#46
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Вопрос такой:
Допустим, с хардом всё понятно - запись супермегагигахитрого вируса на служебную дорожку винта - штука маловероятная. А вот с биосом? Если в дефолтовых настройках BIOS разрешена запись Flash BIOS и там (в тени, или ещё где) поселилась зараза, поможет SMOS CLEAR? |
|
|
26.11.2009, 12:35
Сообщение
#47
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Вопрос такой: CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет.
Допустим, с хардом всё понятно - запись супермегагигахитрого вируса на служебную дорожку винта - штука маловероятная. А вот с биосом? Если в дефолтовых настройках BIOS разрешена запись Flash BIOS и там (в тени, или ещё где) поселилась зараза, поможет SMOS CLEAR? |
|
|
26.11.2009, 17:17
Сообщение
#48
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Служебная дорожка или служебный сектор- место где записывается служебная информация о диске, для пользователя недоступна, информация с этой дорожки считывается во время начального этапа загрузки компа и используется для кофигурирования системы и настройки программного обеспечения при работе с АТА - накопителями. Более подробно смогешь узнать если найдешь эту книгу: А.Борзенко "IBM PC: устройство ремонт, модернизация" - рекомендуется для углублённого (вплоть до молекулярного уровня) изучения материала; советую вылезти из бункера, на дворе уже конец 2009-го года Если ты прочел что-то новее и отменяющее то, что там написано, дай ссылку скажу большое спасибо.. Цитата более того, убивает это: 2. Уж коли вирус работает только в винде или убрать его с компа или ставь другую ось, в любом случае с другим хардом не использовать, есть вероятность перенести заразу. на старых АТА-девайсах первый служебный трек хранил в себе конфигурационную информацию, а не испольняемый код (как это есть в mbr). Ну и вирус, который сидит в буте, а значит выполняющийся до всяких виндов, но работающий только в винде... ну... ) Кто сказал исполняемую? Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится? А насчет служебного трека и отнють не первого по уверениям Антона: Конфигурационную инфу?, да, в том числе к какому адресу в какой последовательности обратится и куда разместить считанную инфу. Могет это направит мысли Антона в нужном направлении. |
|
|
26.11.2009, 18:36
Сообщение
#49
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет. Я имел ввиду "обнуление" биоса. Есть такие джампера на материнках - SMOS CLEAR называются, эффект тот же самый, что батарейку вынуть.Если вынуть батарейку, закоротить контакты её и пр., исчезнет из биоса зараза? |
|
|
26.11.2009, 18:48
Сообщение
#50
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
CMOS -- это отдельный блочок памяти в микросхеме часов реального времени. Так что не поможет. Я имел ввиду "обнуление" биоса. Есть такие джампера на материнках - SMOS CLEAR называются, эффект тот же самый, что батарейку вынуть.Если вынуть батарейку, закоротить контакты её и пр., исчезнет из биоса зараза? |
|
|
26.11.2009, 21:03
Сообщение
#51
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
А загрузочная дискета с новой прошивкой не решит проблему?
Допустим, новая прошивка по размеру различается от старой и сменятся ведь адреса секторов памяти. Хотя..., если вирус будет на лету перехватывать команды загрузчика... Понятно, короче. Сообщение отредактировал gutallin - 26.11.2009, 21:05 |
|
|
26.11.2009, 21:06
Сообщение
#52
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
А загрузочная дискета с новой прошивкой не решит проблему? Не решит. При самотестировании машины при включении управление передаётся БИОС и... вирусяка загружен в память... Загрузка с диска начинается позже... :(Допустим, новая прошивка по размеру различается от старой и сменятся ведь адреса секторов памяти. Цитата Понятно, короче. Конечно. Программатор нужен. Благо процедура рублей 300 стОит. Было бы где её сделать...
|
|
|
26.11.2009, 23:57
Сообщение
#53
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
orlusha
Цитата А нет ли хака, позволяющего записать туда помимо данных исполняемый код и затем использовать какой-нибудь неконтролируемый буфер в БИОСе? каким образом? тот же вопрос к господину STamm . Возможно мой встречный вопрос направит ему мысль в нужном направлении каким образом в "недоступный пользователю сектор" попадет указетль на другую выполняемую область? кто будет писать драйвер для этого учитывая разные модели винтов? проще сразу из под винды переписать mbr и рестартнуть винду, не мучая себя неблагодарной работой. К тому же современные винты хранят конфиги в прошивке, а не на механике в "служебном секторе". Цитата Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится? зачем к ним обращаться? если сильно хочется можно ковырять протокол и драйвер, ремапы происходят прозрачно, "прямодоступный" Createfile() принимает не абсолютный указатель на сектор. |
|
|
27.11.2009, 17:01
Сообщение
#54
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
|
|
|
27.11.2009, 17:28
Сообщение
#55
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Могет уважаемый Антон вспомнит где находятся резервные сектора диска и как к ним можно обратится? зачем к ним обращаться? если сильно хочется можно ковырять протокол и драйвер, ремапы происходят прозрачно, "прямодоступный" Createfile() принимает не абсолютный указатель на сектор. Чисто теоретически: Тело вируса могет быть записано в определенном месте, затем эти сектора или блоки отмечаются как "bed" или как резервные, но в Бутсекторе указывается жесткая ссылка на физический адрес вируса. При загрузке по этой ссылке считывается в память некая программа, которая и активизирует вирус при определённых условиях. При выключении компа программа перед выгружением из памяти производит запись в бутсектор. |
|
|
27.11.2009, 17:50
Сообщение
#56
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера. С сектора отвечающего за пользовательские данные они считываются, а не выполняются.
Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же. Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС). |
|
|
27.11.2009, 18:26
Сообщение
#57
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Если сектор помечен как relocated винт к нему не обращается (к телу), будь хоть двести ссылок на него. Причем это нативная работа механики винта, а не драйвера. С сектора отвечающего за пользовательские данные они считываются, а не выполняются. Модифицировать mbr можно через createfile()/writefile(), эта функция дает прямой доступ через драйвер устройства, mbr расположен в нулевом логическом секторе. Модификация выполняется и под виндой, в другой сектор пишется исполняемый код, переход на который задается в мбр (в мбр 512 байт, если хватит - можно и не ссылаться далее). Можно загримировать под super-lilo, функциональность та же. Никаких волшебных служебных дорожек нафиг не нужно, работает на огромном кол-ве устройств (драйвер предоставляет ОС). Вынужден признать, что возразит против сказанного не чего, не тот уровень знаний. Плюсик поставить не могу, еще не дорос. Если чем наступил на любимую мозоль извини. Приятно было пообщаться, но ссылочку для поднятия уровня скинь. А насчет виря, проблема не нова, нужно только погуглить. Немного о нем здесь: http://forum.drweb.com/index.php?showtopic...0&start=120. |
|
|
27.11.2009, 19:41
Сообщение
#58
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
прямую ссылку не дам (потому как это хелп, есть просто обсуждения), но вот об этой функции:
http://msdn.microsoft.com/en-us/library/aa...5,classic).aspx через CreateFile() файл открывается и получаем хендл на него (все устройства представляют собой файл, потому унифицированные операции чтения и записи в них. Потому же, кстати, нельзя создать файл aux/con/prn - такие "файлы" уже есть, и представляют собой устройства). Устанавливается позиция через SetFilePointer() и читается/пишется в буфер через ReadFile/WriteFile. МБР находится в "файле" устройства по смещению 1be, там 4 блока об 4х разделах (если раздел расширенный - из него может быть еще 4 блока), узнаем смещение раздела и можем гадить уже в нем не трогая других. работал я с этим мало, дальше гадостей дело не уходило (программа переносила загрузчик, и загрузиться в ОС можно было только воткнув предварительно специальную флешку в комп - типа самопальная защита фиксилась в обход тупо консолью восстановления командами fixboot и fixmbr ). |
|
|
27.11.2009, 19:59
Сообщение
#59
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Уровень файла устройства не позволяет работать со служебными дорожками, таблицей плохих блоков и т.п.
Для такой работы служат специальные порты контроллера жёстких дисков и специальные команды, в них выдаваемые. Подробности можно найти в исходниках HDDSPEED или других технологических программ такого рода. |
|
|
27.11.2009, 20:03
Сообщение
#60
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
ну так "работа" - понятие растяжимое, кому будет хуже от того, что вирус находится в блоке что помечен как перенесенный?
|
|
|
Текстовая версия | Сейчас: 9.6.2024, 23:50 |