Jump to content

Петя Миша шифровальщик

Ivan_83

By Ivan_83
in У нага

 Share

Recommended Posts

  • Replies 76
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

YuryD

YuryD

Posted
Posted

Кто что слышал?

 

Пока вот: https://habrahabr.ru/post/331762/

как я понял из тех кто в теме - руки заняты и не до писанины новостей.

 

Или всё раздуто?

Перезаписать mbr или даже bios покоцать можно только в ринг0, т.е. досовские вирусы типа чернобыля вернулись ? Винда вроде не должна давать в защищенном режиме туда писать. Или я что-то отстал от этой жизни...

Ivan_83

Ivan_83

Posted
  • Author
Posted
Перезаписать mbr или даже bios покоцать можно только в ринг0, т.е. досовские вирусы типа чернобыля вернулись ? Винда вроде не должна давать в защищенном режиме туда писать. Или я что-то отстал от этой жизни...

Ты ацки ошибаешься насчёт ринг0 для мбр.

 

Я однажды потёр начало дисков через WinHex с правами админа.

Как я понял достаточно через CreteFile() открыть хитробозванное устройство (не помню как они там именуются), а не "c:\" и всё, можно писать/читать что угодно.

 

Ринг0 тоже можно на шару получить даже из под юзера, у некоторых вендоров дрова позволяют писать/читать память любых адресов любым процессам, но это надо чтобы повезло и драйвер уже был.

fspi

fspi

Posted
Posted
Перезаписать mbr или даже bios покоцать можно только в ринг0, т.е. досовские вирусы типа чернобыля вернулись ? Винда вроде не должна давать в защищенном режиме туда писать. Или я что-то отстал от этой жизни...

Ты ацки ошибаешься насчёт ринг0 для мбр.

 

Я однажды потёр начало дисков через WinHex с правами админа.

Как я понял достаточно через CreteFile() открыть хитробозванное устройство (не помню как они там именуются), а не "c:\" и всё, можно писать/читать что угодно.

 

Читал об этом в середине 00-x,это че еще не пофиксили чтоле??!!

YuryD

YuryD

Posted
Posted

Ринг0 тоже можно на шару получить даже из под юзера, у некоторых вендоров дрова позволяют писать/читать память любых адресов любым процессам, но это надо чтобы повезло и драйвер уже был.

Особенно видео :) Сначала к себе, но и почему бы нет ? Сначала криптовалютчики будут обкрадены. И круто.

rm_

rm_

Posted
Posted
Винда вроде не должна давать в защищенном режиме туда писать.

Виндовые прошивальщики BIOS'а существуют, значит даёт.

Ivan_83

Ivan_83

Posted
  • Author
Posted
Читал об этом в середине 00-x,это че еще не пофиксили чтоле??!!

Что фиксить то!?

Как ты собрался потом с диском работать?

Один хрен чтобы это открыть нужны права админа, а админ и без того много всего может натворить.

В линуксах/фрях тоже самое, открыл девайс и пиши в него что хочешь, если ты рут.

На фре есть правда крутилка сисцтл которая по дефолту запрещает прямо так гадить в устройство. В линухах хз.

 

Виндовые прошивальщики BIOS'а существуют, значит даёт.

Они грузят свой подписанный драйвер.

Главное что подпись должна быть валидная, она нынче требует бабла и орг возни, либо искать краденный со всеми вытекающими.

Tosha

Tosha

Posted
Posted

Один хрен чтобы это открыть нужны права админа, а админ и без того много всего может натворить.

В линуксах/фрях тоже самое, открыл девайс и пиши в него что хочешь, если ты рут.

Правильно. Но вот отобрать у пользователя винды права локального админа не выходит. Чувствительное количество программ перестает нормально работать. Особенно игры.

Я как-то пытался брату отломать админские права (ну чтобы компьютер подольше "жил") - не вышло. Поэтому часто требуется "чинить" вплоть до переустановки.

 

А в линуксе ситуация значитально лучше. Все программы нормально работают из-под непривигилированной учетки.

Horgi

Horgi

Posted
Posted

Гы:

 

Венда рулит. Линух сосет.

prostokomp

13 мая 2017, 07:17:30 UTC

 

 

Ps.

 

Скачал вирусов себе на линух.

 

Распаковал.

 

Поставил под root.

 

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

 

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

 

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

 

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать

Ivan_83

Ivan_83

Posted
  • Author
Posted
Правильно. Но вот отобрать у пользователя винды права локального админа не выходит. Чувствительное количество программ перестает нормально работать. Особенно игры. Я как-то пытался брату отломать админские права (ну чтобы компьютер подольше "жил") - не вышло. Поэтому часто требуется "чинить" вплоть до переустановки.

Плохо пытался или игр было много и разных.

У меня лично все игры работали без админа, нфс3 и 4 я лично патчил ехе, потому что мне лень было запоминать и потом давать полный доступ на пару веток реестра.

Более новые игры иногда требовали разве что разрешения на запись отдельный файлов в своей папке, а после 2005 года научились писать только в профиль юзера.

Софта который нужен каждый день и требовал бы админа вроде тоже не было. Сервисные утилиты некоторые требовали прав, но они там реально для работы.

Пока админил вендосети тоже все сидели юзерами, даже бухов довольно долго удавалось держать без прав, потом обленился/другие ценности/заботы и забил на них.

 

А в линуксе ситуация значитально лучше. Все программы нормально работают из-под непривигилированной учетки.

Всё хуже, некоторый софт принципиально отказывается стартовать от рута, там прямо в бинарниках проверки вшиты.

fspi

fspi

Posted
Posted

Как ты собрался потом с диском работать?

 

Запись mbr - это не часто требуемая операция,можно было и что-нибудь придумать,н-р,ограничить запись только туда.

 

Радиационный контроль ЧАЭС на винде? Эпический звиздец...

 

Я почему-то по наивности думал,что там что-то вроде QNX используется.

snvoronkov

snvoronkov

Posted
Posted

Я почему-то по наивности думал,что там что-то вроде QNX используется.

Я-бы вообще OpenVMS в принудительном порядке ставить заставлял на критическую инфраструктуру.

Sergey Gilfanov

Sergey Gilfanov

Posted
Posted

Я-бы вообще OpenVMS в принудительном порядке ставить заставлял на критическую инфраструктуру.

Проблемы совместимости бооольшая будет.

Но в принудительном порядке рабочую среду виртуализировать - мысль хорошая. Т.е. хост система максимально ограничена и постоянно бакапит гостевую. А все остальное - на гостевой живет. Причем гостевые системы сетки между хостами не видят, а сеть между ними тоже либо полностью виртуализирована, либо хотя бы в виде независимого VLAN существует.

snvoronkov

snvoronkov

Posted
Posted

Но в принудительном порядке рабочую среду виртуализировать - мысль хорошая. Т.е. хост система максимально ограничена и постоянно бакапит гостевую. А все остальное - на гостевой живет. Причем гостевые системы сетки между хостами не видят, а сеть между ними тоже либо полностью виртуализирована, либо хотя бы в виде независимого VLAN существует.

Тут намедни буквально про jailbreak xen.

 

А так все хорошо. :-))

Sergey Gilfanov

Sergey Gilfanov

Posted
Posted

Тут намедни буквально про jailbreak xen.

А так все хорошо. :-))

Вероятность сломать "все" уменьшается. Надо же сломать и гостя (я подозреваю, что jailbreak администратора в госте требует), и, потом, хост, на котором еще и почти ничего не крутится.

snvoronkov

snvoronkov

Posted
Posted (edited)

Вероятность сломать "все" уменьшается. Надо же сломать и гостя (я подозреваю, что jailbreak администратора в госте требует), и, потом, хост, на котором еще и почти ничего не крутится.

А вот я опять сошлюсь на Opennet. Оно, конечно, не для винды. Всего-лишь для:

IV. Results

IV.1. Linux

IV.2. OpenBSD

IV.3. NetBSD

IV.4. FreeBSD

IV.5. Solaris

https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt

 

// Занимательное чтиво, кстати. Особенно, когда посты Solar Designer почитаешь по поводу ЭТОЙ публикации. :-)

// Первый фикс на Дебьяна у меня Жабу сломал нафиг. :-)

// На Фрю фикс пока вообще только в HEAD... И тот, как выяснилось, неполон. Белоусов (kib) продолжает дополнять: https://svnweb.freebsd.org/base/head/sys/vm/

Edited by snvoronkov
straus

straus

Posted
Posted

Радиационный контроль ЧАЭС на винде? Эпический звиздец...

Я почему-то по наивности думал,что там что-то вроде QNX используется.

Мечты, мечты... Винда проникла во все щели. А сейчас будет проникать десятка, ибо другие уже не продаются.

Ivan_83

Ivan_83

Posted
  • Author
Posted
Запись mbr - это не часто требуемая операция,можно было и что-нибудь придумать,н-р,ограничить запись только туда.

Ты херню какую то предлагаешь.

Для того чтобы записать мбр и так нужны права админа, накой хрен наворачивать какие то непонятные интерфейсы, которые всё равно будут доступны админу?

 

// На Фрю фикс пока вообще только в HEAD... И тот, как выяснилось, неполон. Белоусов (kib) продолжает дополнять: https://svnweb.freeb...se/head/sys/vm/

Вроде как достаточно пересобрать систему и порты с определёнными флагами компилятора.

 

Мечты, мечты... Винда проникла во все щели. А сейчас будет проникать десятка, ибо другие уже не продаются.

Сравни с тем что было 20 лет назад, 15 лет назад.

Тогда у нас ни маков ни линуксов совсем не было и никто о них и не слышал.

Сейчас вероятность встретить линукс весьма существенная, не только где то в киоске/железке но и на рабочей станции.

Ещё лет через 10 подрастёт больше линуксойдов и венду начнут массово щемить, как минимум с банкоматов и киосков, да и на десктопах тоже, стим вон не спит, как и кодевейвс (пилят вайн за деньги).

snvoronkov

snvoronkov

Posted
Posted

Вроде как достаточно пересобрать систему и порты с определёнными флагами компилятора.

Не. Не проканает. Снимает только часть возможностей.

 

Если посмотришь в svn, то kib там работает совместно с Коксом и самими разработчиками эксплойта. (Уроды, блин. Оповестили они. По факту НИ У КОГО почти фиксов небыло...)

fspi

fspi

Posted
Posted

 

Ты херню какую то предлагаешь.

Для того чтобы записать мбр и так нужны права админа, накой хрен наворачивать какие то непонятные интерфейсы, которые всё равно будут доступны админу?

 

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.