forum.opennet.ru

Составление сообщения

Исходное сообщение

"Линус Торвальдс выдвинул ультиматум на приём патчей от разра..."
Отправлено Аноним, 05-Апр-14 03:36

> В моей речи выше было немного сарказма,
Видимо, надо было теги расставлять, т.к. со стороны это больше смахивало на тормозизм, имхо.
> Ага, да, конечно. А если загрузиться в LiveCD? Уже не удастся подменить
> системный вызов.
Так в этом то и пойнт загрузки с LiveCD.
> Поэтому проще оставить файл на диске, просто обнулись счётчик
> ссылок на него.
Если цель - "просто спрятать данные", есть over 9000 методов как это сделать. Можно вообще как файл не оформлять. Вывалить на reserved space после бутлоадера, на свободное место между разделами, или просто дописать в хвост какому-нибудь файлу. И еще over 9000 трюков. Проблема в том что для полной невидимости ВСЕХ кусков какие-то системные компоненты поменять придется и загрузка с LiveCD потенциально может это запалить. А если запален некий компонент - ну так и как он данные хранит постепенно разреверсят и при желании научатся доставать и скрытые данные.
> fsck по идее просто его удалит в случае
> чего, но кто догадается fsck запускать с LiveCD?
А если вообще не оформлять как файл и просто записать эн копий в разных блоках - даже fsck не догадается. Правда есть некий риск что затрется в процессе работы, но если разложить эн копий - все не затрутся сразу, можно восстановить стертые копии. Вот только эту логику кто-то должен делать. И при загрузке с LiveCD его станет видно...
> Да и в загрузчике всегда можно спрятаться на всякий пожарный.
Нормальные админы в курсе что для вышибания руткита надо сделать полный реинсталл. Конечно, существуют экспонаты пытающикся прописать довесок в BIOS, вот такое реинсталлом уже не выпрется. Но эти экспонаты имеют свойство быть очень разборчивыми в системах на которых они работают (тип bios и его версия, 100500 разныз факторов типа наличия места в флехе, etc), и вообще, виденные экспонаты уповали на возможность запустить авардовскую тулзу для пересборки BIOS (что в Linux не получится по техническим причинам). И даже так оно лажалось в половине случаев. А так то да, у рутковской вон есть "ring -3" приблуда. Живет себе в памяти BMC. Что-то делает. А x86 это совсем не видно. Вот только это опять же очень мамкозависимо и работает в оснвном на машине разработчика.
Вообще, сейчас хаксоров в основном интересует куда более прозаичный тыринг данных и использование халявных ресурсов, а вылет с плюс-минус пары машин с компетентными админами их вообще не парит. На 1 компетентного админа - 100 дятлов.
> Да понятное дело то. Я скорее пересказываю всё, что уже давно есть
> и активно применяется. Только никто об этом не знает.
А ты видел ring -3 экспонат от рутковской? Ну и вообще "никто не знает" - очень громкая заява. Дело в том что поменять системные вызовы так чтобы нигде не возникло аномалий и нестыковок - очень сложная задача. Поэтому чем забористее руткит - тем вероятнее что он себя спалит какими-то странными проблемами или особенностями, не говоря о том что он будет очень разборчив к особенностям системы. Я вон как-то видел как малварина запалила себя на ... рутките. Сама малварь была неизвестная, а вот руткит которым она пыталась спрятаться - достаточно общеизвестен для того чтобы попасться :).

Исходное сообщение
"Линус Торвальдс выдвинул ультиматум на приём патчей от разра..." Отправлено Аноним, 05-Апр-14 03:36
> В моей речи выше было немного сарказма, Видимо, надо было теги расставлять, т.к. со стороны это больше смахивало на тормозизм, имхо. > Ага, да, конечно. А если загрузиться в LiveCD? Уже не удастся подменить > системный вызов. Так в этом то и пойнт загрузки с LiveCD. > Поэтому проще оставить файл на диске, просто обнулись счётчик > ссылок на него. Если цель - "просто спрятать данные", есть over 9000 методов как это сделать. Можно вообще как файл не оформлять. Вывалить на reserved space после бутлоадера, на свободное место между разделами, или просто дописать в хвост какому-нибудь файлу. И еще over 9000 трюков. Проблема в том что для полной невидимости ВСЕХ кусков какие-то системные компоненты поменять придется и загрузка с LiveCD потенциально может это запалить. А если запален некий компонент - ну так и как он данные хранит постепенно разреверсят и при желании научатся доставать и скрытые данные. > fsck по идее просто его удалит в случае > чего, но кто догадается fsck запускать с LiveCD? А если вообще не оформлять как файл и просто записать эн копий в разных блоках - даже fsck не догадается. Правда есть некий риск что затрется в процессе работы, но если разложить эн копий - все не затрутся сразу, можно восстановить стертые копии. Вот только эту логику кто-то должен делать. И при загрузке с LiveCD его станет видно... > Да и в загрузчике всегда можно спрятаться на всякий пожарный. Нормальные админы в курсе что для вышибания руткита надо сделать полный реинсталл. Конечно, существуют экспонаты пытающикся прописать довесок в BIOS, вот такое реинсталлом уже не выпрется. Но эти экспонаты имеют свойство быть очень разборчивыми в системах на которых они работают (тип bios и его версия, 100500 разныз факторов типа наличия места в флехе, etc), и вообще, виденные экспонаты уповали на возможность запустить авардовскую тулзу для пересборки BIOS (что в Linux не получится по техническим причинам). И даже так оно лажалось в половине случаев. А так то да, у рутковской вон есть "ring -3" приблуда. Живет себе в памяти BMC. Что-то делает. А x86 это совсем не видно. Вот только это опять же очень мамкозависимо и работает в оснвном на машине разработчика. Вообще, сейчас хаксоров в основном интересует куда более прозаичный тыринг данных и использование халявных ресурсов, а вылет с плюс-минус пары машин с компетентными админами их вообще не парит. На 1 компетентного админа - 100 дятлов. > Да понятное дело то. Я скорее пересказываю всё, что уже давно есть > и активно применяется. Только никто об этом не знает. А ты видел ring -3 экспонат от рутковской? Ну и вообще "никто не знает" - очень громкая заява. Дело в том что поменять системные вызовы так чтобы нигде не возникло аномалий и нестыковок - очень сложная задача. Поэтому чем забористее руткит - тем вероятнее что он себя спалит какими-то странными проблемами или особенностями, не говоря о том что он будет очень разборчив к особенностям системы. Я вон как-то видел как малварина запалила себя на ... рутките. Сама малварь была неизвестная, а вот руткит которым она пыталась спрятаться - достаточно общеизвестен для того чтобы попасться :).

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> В моей речи выше было немного сарказма,

> Видимо, надо было теги расставлять, т.к. со стороны это больше смахивало на 
> тормозизм, имхо.

>> Ага, да, конечно. А если загрузиться в LiveCD? Уже не удастся подменить 
>> системный вызов.

> Так в этом то и пойнт загрузки с LiveCD.

>> Поэтому проще оставить файл на диске, просто обнулись счётчик 
>> ссылок на него.

> Если цель - "просто спрятать данные", есть over 9000 методов как это 
> сделать. Можно вообще как файл не оформлять. Вывалить на reserved space 
> после бутлоадера, на свободное место между разделами, или просто дописать в 
> хвост какому-нибудь файлу. И еще over 9000 трюков. Проблема в том 
> что для полной невидимости ВСЕХ кусков какие-то системные компоненты поменять придется 
> и загрузка с LiveCD потенциально может это запалить. А если запален 
> некий компонент - ну так и как он данные хранит постепенно 
> разреверсят и при желании научатся доставать и скрытые данные.

>> fsck по идее просто его удалит в случае 
>> чего, но кто догадается fsck запускать с LiveCD?

> А если вообще не оформлять как файл и просто записать эн копий 
> в разных блоках - даже fsck не догадается. Правда есть некий 
> риск что затрется в процессе работы, но если разложить эн копий 
> - все не затрутся сразу, можно восстановить стертые копии. Вот только 
> эту логику кто-то должен делать. И при загрузке с LiveCD его 
> станет видно...

>> Да и в загрузчике всегда можно спрятаться на всякий пожарный.

> Нормальные админы в курсе что для вышибания руткита надо сделать полный реинсталл. 
> Конечно, существуют экспонаты пытающикся прописать довесок в BIOS, вот такое реинсталлом 
> уже не выпрется. Но эти экспонаты имеют свойство быть очень разборчивыми 
> в системах на которых они работают (тип bios и его версия, 
> 100500 разныз факторов типа наличия места в флехе, etc), и вообще, 
> виденные экспонаты уповали на возможность запустить авардовскую тулзу для пересборки BIOS 
> (что в Linux не получится по техническим причинам). И даже так 
> оно лажалось в половине случаев. А так то да, у рутковской 
> вон есть "ring -3" приблуда. Живет себе в памяти BMC. Что-то 
> делает. А x86 это совсем не видно. Вот только это опять 
> же очень мамкозависимо и работает в оснвном на машине разработчика.

> Вообще, сейчас хаксоров в основном интересует куда более прозаичный тыринг данных и 
> использование халявных ресурсов, а вылет с плюс-минус пары машин с компетентными 
> админами их вообще не парит. На 1 компетентного админа - 100 
> дятлов.

>> Да понятное дело то. Я скорее пересказываю всё, что уже давно есть 
>> и активно применяется. Только никто об этом не знает.

> А ты видел ring -3 экспонат от рутковской? Ну и вообще "никто 
> не знает" - очень громкая заява. Дело в том что поменять 
> системные вызовы так чтобы нигде не возникло аномалий и нестыковок - 
> очень сложная задача. Поэтому чем забористее руткит - тем вероятнее что 
> он себя спалит какими-то странными проблемами или особенностями, не говоря о 
> том что он будет очень разборчив к особенностям системы. Я вон 
> как-то видел как малварина запалила себя на ... рутките. Сама малварь 
> была неизвестная, а вот руткит которым она пыталась спрятаться - достаточно 
> общеизвестен для того чтобы попасться :).

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру