1 | |
WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией*10.01.2013, 15:41. Показов 1995. Ответов 19
Метки нет (Все метки)
Обсуждение части проекта: Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)
1
|
10.01.2013, 15:41 | |
Ответы с готовыми решениями:
19
Mbr в gpt GPT и MBR Mbr в gpt SSD M.2 Mbr-->Gpt |
Модератор
5198 / 2080 / 406
Регистрация: 06.01.2013
Сообщений: 4,794
|
|
29.05.2013, 18:29 | 3 |
0
|
Dragokas
|
29.05.2013, 18:48
[ТС]
#4
|
Не по теме: FraidZZ, я тебя записал Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)
0
|
Eva Rosalene
|
29.05.2013, 20:05
#5
|
0
|
Dragokas
|
29.05.2013, 23:43
[ТС]
#6
|
Не по теме: Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать.
0
|
Dragokas
|
29.05.2013, 23:43
[ТС]
#7
|
Не по теме: Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать.
0
|
Особый статус
8428 / 1707 / 87
Регистрация: 15.04.2011
Сообщений: 5,515
|
|
31.05.2013, 08:33 | 8 |
Dragokas, я на виртуалке мбр локеры юзал, нормально ось себя чувствует, убил немало виртуалок.
Тестить тоже берусь.
0
|
31.05.2013, 14:30 [ТС] | 9 |
Подумал, пусть ход обсуждения следующих этапов будет и здесь, а не в ЛС.
Все-таки, FraidZZ вероятно уже что-нибудь по MBR изучил? (будем подходить к вопросу с разных сторон) За вчера на счет Master Boot Record идеи были такие: 1) Включение в комплект скана утилиты: TDSSKiller http://support.kaspersky.ru/5350?el=88446 с надстройкой через WinAPI автоматического управления ее настройками и автозапуском/автозавершением (скан только памяти и бутсекторов - это весьма быстро). Кроме того, она перед сканом делает автообновление. Узнаем сейчас на счет, не нарушаем ли условия лицензионного использования. 2) Второй вариант: Считывание MBR, подготовка резервной копии. При выходе из системы проверка идентичности, либо сразу перезапись резервной копией. MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы в область, куда он сохранил резервную копию оригинала MBR. Так что данный способ нельзя считать весьма эффективным. Ставка делается на то, что сразу после заражения (без перезагрузки) некоторые модификации WinLocaker-ов еще не получают максимальных привилегий и не смогут защитить свое тело, не внедрившись в системные библиотеки, и еще не выйдя на уровень ядра. Общая идея, с чем как я понимаю и Koza Nozdri согласен, мы не делаем какую-то высокотехнологическую утилиту лечения. Без крутых спецов по АСМу это врядли получится сделать. Делаем просто, оригинально, и чтобы работало быстро (утилита имеет больше превентивный характер и будет запускаться при загрузке профиля и при выходе из системы).
1
|
Модератор
5198 / 2080 / 406
Регистрация: 06.01.2013
Сообщений: 4,794
|
|
31.05.2013, 17:57 | 10 |
Изучил частично. Там все настолько сложно, что в принципе ошибка могет стоить жизни компутеру.
2
|
Особый статус
8428 / 1707 / 87
Регистрация: 15.04.2011
Сообщений: 5,515
|
|
31.05.2013, 22:08 | 11 |
Наводил справки.
Попробовал вирей. Есть две новости: Хорошая и плохая. Хорошая-не все мбр локеры жестко вырубают систему,тут есть шанс еще спасти юзера. Плохая-сурьезный вирь мнгновенно вырубает комп и ничто и никак не спасет пользователя от поражения мбр если он собственноручно запустил такого виря. Пэчалька...
0
|
Особый статус
8428 / 1707 / 87
Регистрация: 15.04.2011
Сообщений: 5,515
|
|
31.05.2013, 22:17 | 13 |
Согласен,просто озвучил на всякий случай)))
0
|
31.05.2013, 22:34 [ТС] | 15 |
Спасибо, Саня gamer, там хоть часть кода не на ассемблере написана. Еще сгодится для экспериментов.
Надо бы связаться с автором вплоть до просьбы увидеть исходный код. Не хочется включать утилиты с неподтвержденным источником.
2
|
31.05.2013, 23:44 | 16 |
Сообщение от Dragokas
Добавлено через 5 минут Не по теме: ну и фантастический вариант:
1
|
28.08.2013, 14:21 [ТС] | 17 |
Кто желает погонять утилиты для создания дампов MBR ?
(архивчик: 15 МБ) Состав такой:
+---BootIce ¦ L---BOOTICE_1.11 +---Dimio HDHacker (MBR backup) ¦ L---hdhacker +---GMER mbr +---Kaspersky TDSSKiller ¦ +---2.9.2.0 ¦ L---Symantec TDSS Fix Tool +---MBR Backup +---MBR Regenerator ¦ L---MBR Regenerator v4.5 +---MBR Wizard ¦ +---1.53 ¦ +---2.0 beta ¦ L---3.0.83 +---MBRCheck by ad13 (GeeksToGo.com) +---MBRFix ¦ L---MbrFix +---MbrScan by Eric_71 +---MBRTool ¦ L---Unpacked - DIY DataRecovery MBRtool ¦ L---htm +---MBRUtil ¦ L---head +---Terabyte Software ¦ +---mbr ¦ ¦ +---DOS ¦ ¦ +---LINUX ¦ ¦ L---WIN ¦ +---MBRWORK ¦ L---PARTINFO L---testdisk-6.14-WIP.win L---Tool +---63 +---jni L---plugins +---BartPE ¦ L---SCRIPTS L---WinBuilder Описание на часть из утилит: http://www.raymond.cc/blog/5-f... ecord-mbr/ Задание такое: 1) Dump_MBR.cmd Написать CMD для создания дампов MBR всех физических дисков. Создавать отдельный лог (SN_Dumpfiles.log) с информацией о привязке имени файла-дампа к серийному номеру физического диска. 2) Check_and_restore_MBR.cmd Проверка идентичности дампа MBR с текущими MBR физических дисков. Алгоритм таков: Создаем еще раз дампы. Находим серийные номера физ. дисков. Сверяем серийные номера текущие с файлом SN_Dumpfiles.log и находим соответствующий файл-дамп. Сверяем этот файл-дамп с текущим дампом. Есть различия -> предлагаем юзеру перезаписать MBR (с кучей предупреждений об отказе на счет ответственности и все такое... предложение создать загрузочный диск...) Если ответ ДА -> Сохраняем резервную копию текущего дампа и делаем перезапись MBR. Сразу пишу, какие из утилит в архиве имеют явно оба функционала и консольный интерфейс:
Как определить SN серийного диска - к сожалению пока засада. Мой утиль не всегда корректно определяет (т.е. может не определить вообще). Будет переписывать на C++. А пока юзаем ее. Запускать все утилиты и выполнять все задания только на виртуальной машине!!! И не говорите, что не предупреждал!!!
0
|
28.08.2013, 15:22 [ТС] | 18 |
sov44, скажи, а на сколько реально создать загрузочную флешку, не форматируя ее? Не видел такого?
Думаю еще на счет варианта 2) сделать подобие Recovery Console. Если в результате перезаписи MBR, нарушилась работа системы (разделы пропали, например), юзеръ сможет прямо из меню выбора ОС вернуть исходный MBR.
1
|
1779 / 761 / 130
Регистрация: 09.04.2011
Сообщений: 1,325
|
|
28.08.2013, 15:50 | 19 |
0
|
28.08.2013, 15:58 [ТС] | 20 |
Ну вот, еще одна
0
|
28.08.2013, 15:58 | |
28.08.2013, 15:58 | |
Помогаю со студенческими работами здесь
20
Конвертация MBR и GPT! Взаимодействие MBR и GPT Из mbr в gpt и обратно Чтение mbr и gpt Преобразование MBR в GPT Установка windows 8.1 GPT на MBR? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |