WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией*

Dragokas · Регистрация: 25.12.2011

Author24 — интернет-сервис помощи студентам

Обсуждение части проекта: Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

Dragokas · 29.05.2013, 16:44 **[ТС]**

Кстати, что там по MBR нет желания поразбираться?

@Eva Rosalene · 29.05.2013, 18:29

Сообщение от Dragokas

Кстати, что там по MBR нет желания поразбираться?

Не по теме:

По какому MBR? Master Boot Record? Я такого не помню что-то...

Dragokas · 29.05.2013, 18:48 **[ТС]**

Не по теме:

FraidZZ, я тебя записал Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)
:)

@Eva Rosalene · 29.05.2013, 20:05

Не по теме:

Сообщение от Dragokas

FraidZZ, я тебя записал Создание комплексной утилиты лечения вируса семейства WinLocker

Нежданчик. Будем думать. Это вообще-то сложно, я с MBR ни разу не работал, так что за результат не отвечаю. Тестировать лучше на виртуальной винде, так что главным тестером будешь именно ты (у меня нет виртуалки)

Dragokas · 29.05.2013, 23:43 **[ТС]**

Не по теме:

Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать.

Dragokas · 29.05.2013, 23:43 **[ТС]**

Не по теме:

Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать.

@Kиpилл · 31.05.2013, 08:33

Dragokas, я на виртуалке мбр локеры юзал, нормально ось себя чувствует, убил немало виртуалок.
Тестить тоже берусь.

Dragokas · 31.05.2013, 14:30 **[ТС]**

Подумал, пусть ход обсуждения следующих этапов будет и здесь, а не в ЛС.
Все-таки, FraidZZ вероятно уже что-нибудь по MBR изучил? (будем подходить к вопросу с разных сторон)

За вчера на счет Master Boot Record идеи были такие:

1) Включение в комплект скана утилиты:
TDSSKiller http://support.kaspersky.ru/5350?el=88446

с надстройкой через WinAPI автоматического управления ее настройками и автозапуском/автозавершением (скан только памяти и бутсекторов - это весьма быстро). Кроме того, она перед сканом делает автообновление.
Узнаем сейчас на счет, не нарушаем ли условия лицензионного использования.

2) Второй вариант:

Считывание MBR, подготовка резервной копии.
При выходе из системы проверка идентичности, либо сразу перезапись резервной копией.

MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы
в область, куда он сохранил резервную копию оригинала MBR. Так что данный способ нельзя считать весьма эффективным.
Ставка делается на то, что сразу после заражения (без перезагрузки) некоторые модификации WinLocaker-ов еще не получают максимальных привилегий и не смогут защитить свое тело, не внедрившись в системные библиотеки, и еще не выйдя на уровень ядра.

Общая идея, с чем как я понимаю и Koza Nozdri согласен,
мы не делаем какую-то высокотехнологическую утилиту лечения.
Без крутых спецов по АСМу это врядли получится сделать.

Делаем просто, оригинально, и чтобы работало быстро (утилита имеет больше превентивный характер и будет запускаться при загрузке профиля и при выходе из системы).

@Eva Rosalene · 31.05.2013, 17:57

Сообщение от Dragokas

2) Второй вариант:
Считывание MBR, подготовка резервной копии.
При выходе из системы проверка идентичности, либо сразу перезапись резервной копией.
MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы
в область, куда он сохранил резервную копию оригинала MBR. Так что данный способ нельзя считать весьма эффективным.
Ставка делается на то, что сразу после заражения (без перезагрузки) некоторые модификации WinLocaker-ов еще не получают максимальных привилегий и не смогут защитить свое тело, не внедрившись в системные библиотеки, и еще не выйдя на уровень ядра.
Общая идея, с чем как я понимаю и Koza Nozdri согласен,
мы не делаем какую-то высокотехнологическую утилиту лечения.
Без крутых спецов по АСМу это врядли получится сделать.

Изучил частично. Там все настолько сложно, что в принципе ошибка могет стоить жизни компутеру.

@Kиpилл · 31.05.2013, 22:08

Наводил справки.
Попробовал вирей.
Есть две новости:
Хорошая и плохая.
Хорошая-не все мбр локеры жестко вырубают систему,тут есть шанс еще спасти юзера.
Плохая-сурьезный вирь мнгновенно вырубает комп и ничто и никак не спасет пользователя от поражения мбр если он собственноручно запустил такого виря.

Пэчалька...

Dragokas · 31.05.2013, 22:13 **[ТС]**

Пусть это будет на совести пользователя и используемого им антивируса.
Я так себе и представлял.

@Kиpилл · 31.05.2013, 22:17

Согласен,просто озвучил на всякий случай)))

@Саня gamer · 31.05.2013, 22:23

Вот немного интересной инфы про буткиты, в конце есть какаято утиль

Dragokas · 31.05.2013, 22:34 **[ТС]**

Спасибо, Саня gamer, там хоть часть кода не на ассемблере написана. Еще сгодится для экспериментов.
Надо бы связаться с автором вплоть до просьбы увидеть исходный код.
Не хочется включать утилиты с неподтвержденным источником.

@Саня gamer · 31.05.2013, 23:44

Сообщение от Dragokas

MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы

тогда получается что надо делать либо live-CD либо заставить биос передать управление нам а не 0x7c00

Добавлено через 5 минут

Не по теме:

ну и фантастический вариант:
с ring3 пойти в ring0 а оттуда в RM, прочитать MBR и сохранить в файл, и обратно вернутся в ring3

Dragokas · 28.08.2013, 14:21 **[ТС]**

Кто желает погонять утилиты для создания дампов MBR ?

(архивчик: 15 МБ)

Состав такой:

+---BootIce
¦ L---BOOTICE_1.11
+---Dimio HDHacker (MBR backup)
¦ L---hdhacker
+---GMER mbr
+---Kaspersky TDSSKiller
¦ +---2.9.2.0
¦ L---Symantec TDSS Fix Tool
+---MBR Backup
+---MBR Regenerator
¦ L---MBR Regenerator v4.5
+---MBR Wizard
¦ +---1.53
¦ +---2.0 beta
¦ L---3.0.83
+---MBRCheck by ad13 (GeeksToGo.com)
+---MBRFix
¦ L---MbrFix
+---MbrScan by Eric_71
+---MBRTool
¦ L---Unpacked - DIY DataRecovery MBRtool
¦ L---htm
+---MBRUtil
¦ L---head
+---Terabyte Software
¦ +---mbr
¦ ¦ +---DOS
¦ ¦ +---LINUX
¦ ¦ L---WIN
¦ +---MBRWORK
¦ L---PARTINFO
L---testdisk-6.14-WIP.win
L---Tool
+---63
+---jni
L---plugins
+---BartPE
¦ L---SCRIPTS
L---WinBuilder

Описание на часть из утилит: http://www.raymond.cc/blog/5-f... ecord-mbr/

Задание такое:
1) Dump_MBR.cmd
Написать CMD для создания дампов MBR всех физических дисков.
Создавать отдельный лог (SN_Dumpfiles.log) с информацией о привязке имени файла-дампа к серийному номеру физического диска.

2) Check_and_restore_MBR.cmd
Проверка идентичности дампа MBR с текущими MBR физических дисков.
Алгоритм таков:
Создаем еще раз дампы. Находим серийные номера физ. дисков.
Сверяем серийные номера текущие с файлом SN_Dumpfiles.log и находим соответствующий файл-дамп.
Сверяем этот файл-дамп с текущим дампом.
Есть различия -> предлагаем юзеру перезаписать MBR (с кучей предупреждений об отказе на счет ответственности и все такое... предложение создать загрузочный диск...)
Если ответ ДА -> Сохраняем резервную копию текущего дампа и делаем перезапись MBR.

Сразу пишу, какие из утилит в архиве имеют явно оба функционала и консольный интерфейс:

BootIce
MBR Wizard
MBRFix
MBRTool (с этой не разбирался)
MBRUtil
testdisk-6.14-WIP.win (возможно, ключей не увидел таких, а вручную - функционал есть + она OpenSource)

Как определить SN серийного диска - к сожалению пока засада. Мой утиль не всегда корректно определяет (т.е. может не определить вообще). Будет переписывать на C++. А пока юзаем ее.

Запускать все утилиты и выполнять все задания только на виртуальной машине!!!
И не говорите, что не предупреждал!!!

Dragokas · 28.08.2013, 15:22 **[ТС]**

sov44, скажи, а на сколько реально создать загрузочную флешку, не форматируя ее? Не видел такого?

Думаю еще на счет варианта 2) сделать подобие Recovery Console. Если в результате перезаписи MBR, нарушилась работа системы (разделы пропали, например), юзеръ сможет прямо из меню выбора ОС вернуть исходный MBR.

@sov44 · 28.08.2013, 15:50

Сообщение от Dragokas

sov44, скажи, а на сколько реально создать загрузочную флешку, не форматируя ее? Не видел такого?

не видел, везде флешка форматируется.

Dragokas · 28.08.2013, 15:58 **[ТС]**

Ну вот, еще одна ~~бизнес~~ - идея

@Eva Rosalene Модератор 5198 / 2080 / 406 Регистрация: 06.01.2013 Сообщений: 4,794
	31.05.2013, 17:57	10
	Сообщение от Dragokas 2) Второй вариант: Считывание MBR, подготовка резервной копии. При выходе из системы проверка идентичности, либо сразу перезапись резервной копией. MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы в область, куда он сохранил резервную копию оригинала MBR. Так что данный способ нельзя считать весьма эффективным. Ставка делается на то, что сразу после заражения (без перезагрузки) некоторые модификации WinLocaker-ов еще не получают максимальных привилегий и не смогут защитить свое тело, не внедрившись в системные библиотеки, и еще не выйдя на уровень ядра. Общая идея, с чем как я понимаю и Koza Nozdri согласен, мы не делаем какую-то высокотехнологическую утилиту лечения. Без крутых спецов по АСМу это врядли получится сделать. Изучил частично. Там все настолько сложно, что в принципе ошибка могет стоить жизни компутеру. 2

@sov44 1779 / 761 / 130 Регистрация: 09.04.2011 Сообщений: 1,325
	28.08.2013, 15:50	19
	Сообщение от Dragokas sov44, скажи, а на сколько реально создать загрузочную флешку, не форматируя ее? Не видел такого? не видел, везде флешка форматируется. 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
		1
	WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией* 10.01.2013, 15:41. Показов 1995. Ответов 19 Метки нет (Все метки) Обсуждение части проекта: Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD) 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	29.05.2013, 16:44 [ТС]	2
	Кстати, что там по MBR нет желания поразбираться? 0

@Eva Rosalene Модератор 5198 / 2080 / 406 Регистрация: 06.01.2013 Сообщений: 4,794
	29.05.2013, 18:29	3
	Сообщение от Dragokas Кстати, что там по MBR нет желания поразбираться? Не по теме: По какому MBR? Master Boot Record? Я такого не помню что-то... 0

Dragokas
	29.05.2013, 18:48 [ТС] #4
	Не по теме: FraidZZ, я тебя записал Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD) :) 0

@Eva Rosalene
	29.05.2013, 20:05 #5
	Не по теме: Сообщение от Dragokas FraidZZ, я тебя записал Создание комплексной утилиты лечения вируса семейства WinLocker Нежданчик. Будем думать. Это вообще-то сложно, я с MBR ни разу не работал, так что за результат не отвечаю. Тестировать лучше на виртуальной винде, так что главным тестером будешь именно ты (у меня нет виртуалки) 0

Dragokas
	29.05.2013, 23:43 [ТС] #6
	Не по теме: Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать. 0

Dragokas
	29.05.2013, 23:43 [ТС] #7
	Не по теме: Ты, что на виртуалке наверно низзя. MBR - то вроде одна. Убьет нафик. Я не против. Винтов много. Есть на чем тестировать. 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	31.05.2013, 08:33	8
	Dragokas, я на виртуалке мбр локеры юзал, нормально ось себя чувствует, убил немало виртуалок. Тестить тоже берусь. 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	31.05.2013, 14:30 [ТС]	9
	Подумал, пусть ход обсуждения следующих этапов будет и здесь, а не в ЛС. Все-таки, FraidZZ вероятно уже что-нибудь по MBR изучил? (будем подходить к вопросу с разных сторон) За вчера на счет Master Boot Record идеи были такие: 1) Включение в комплект скана утилиты: TDSSKiller http://support.kaspersky.ru/5350?el=88446 с надстройкой через WinAPI автоматического управления ее настройками и автозапуском/автозавершением (скан только памяти и бутсекторов - это весьма быстро). Кроме того, она перед сканом делает автообновление. Узнаем сейчас на счет, не нарушаем ли условия лицензионного использования. 2) Второй вариант: Считывание MBR, подготовка резервной копии. При выходе из системы проверка идентичности, либо сразу перезапись резервной копией. MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы в область, куда он сохранил резервную копию оригинала MBR. Так что данный способ нельзя считать весьма эффективным. Ставка делается на то, что сразу после заражения (без перезагрузки) некоторые модификации WinLocaker-ов еще не получают максимальных привилегий и не смогут защитить свое тело, не внедрившись в системные библиотеки, и еще не выйдя на уровень ядра. Общая идея, с чем как я понимаю и Koza Nozdri согласен, мы не делаем какую-то высокотехнологическую утилиту лечения. Без крутых спецов по АСМу это врядли получится сделать. Делаем просто, оригинально, и чтобы работало быстро (утилита имеет больше превентивный характер и будет запускаться при загрузке профиля и при выходе из системы). 1

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	31.05.2013, 22:08	11
	Наводил справки. Попробовал вирей. Есть две новости: Хорошая и плохая. Хорошая-не все мбр локеры жестко вырубают систему,тут есть шанс еще спасти юзера. Плохая-сурьезный вирь мнгновенно вырубает комп и ничто и никак не спасет пользователя от поражения мбр если он собственноручно запустил такого виря. Пэчалька... 0

	28.08.2013, 15:58

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	31.05.2013, 22:13 [ТС]	12
	Пусть это будет на совести пользователя и используемого им антивируса. Я так себе и представлял. 1

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	31.05.2013, 22:17	13
	Согласен,просто озвучил на всякий случай))) 0

@Саня gamer 97 / 71 / 5 Регистрация: 18.05.2011 Сообщений: 343 Записей в блоге: 1
	31.05.2013, 22:23	14
	Вот немного интересной инфы про буткиты, в конце есть какаято утиль 2

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	31.05.2013, 22:34 [ТС]	15
	Спасибо, Саня gamer, там хоть часть кода не на ассемблере написана. Еще сгодится для экспериментов. Надо бы связаться с автором вплоть до просьбы увидеть исходный код. Не хочется включать утилиты с неподтвержденным источником. 2

@Саня gamer 97 / 71 / 5 Регистрация: 18.05.2011 Сообщений: 343 Записей в блоге: 1
	31.05.2013, 23:44	16
	Сообщение от Dragokas MBR-вирус может поставить перехватчик на чтение/запись в область загр. записи, переадресовуя все запросы тогда получается что надо делать либо live-CD либо заставить биос передать управление нам а не 0x7c00 Добавлено через 5 минут Не по теме: ну и фантастический вариант: с ring3 пойти в ring0 а оттуда в RM, прочитать MBR и сохранить в файл, и обратно вернутся в ring3 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	28.08.2013, 14:21 [ТС]	17
	Кто желает погонять утилиты для создания дампов MBR ? (архивчик: 15 МБ) Состав такой: +---BootIce ¦ L---BOOTICE_1.11 +---Dimio HDHacker (MBR backup) ¦ L---hdhacker +---GMER mbr +---Kaspersky TDSSKiller ¦ +---2.9.2.0 ¦ L---Symantec TDSS Fix Tool +---MBR Backup +---MBR Regenerator ¦ L---MBR Regenerator v4.5 +---MBR Wizard ¦ +---1.53 ¦ +---2.0 beta ¦ L---3.0.83 +---MBRCheck by ad13 (GeeksToGo.com) +---MBRFix ¦ L---MbrFix +---MbrScan by Eric_71 +---MBRTool ¦ L---Unpacked - DIY DataRecovery MBRtool ¦ L---htm +---MBRUtil ¦ L---head +---Terabyte Software ¦ +---mbr ¦ ¦ +---DOS ¦ ¦ +---LINUX ¦ ¦ L---WIN ¦ +---MBRWORK ¦ L---PARTINFO L---testdisk-6.14-WIP.win L---Tool +---63 +---jni L---plugins +---BartPE ¦ L---SCRIPTS L---WinBuilder Описание на часть из утилит: http://www.raymond.cc/blog/5-f... ecord-mbr/ Задание такое: 1) Dump_MBR.cmd Написать CMD для создания дампов MBR всех физических дисков. Создавать отдельный лог (SN_Dumpfiles.log) с информацией о привязке имени файла-дампа к серийному номеру физического диска. 2) Check_and_restore_MBR.cmd Проверка идентичности дампа MBR с текущими MBR физических дисков. Алгоритм таков: Создаем еще раз дампы. Находим серийные номера физ. дисков. Сверяем серийные номера текущие с файлом SN_Dumpfiles.log и находим соответствующий файл-дамп. Сверяем этот файл-дамп с текущим дампом. Есть различия -> предлагаем юзеру перезаписать MBR (с кучей предупреждений об отказе на счет ответственности и все такое... предложение создать загрузочный диск...) Если ответ ДА -> Сохраняем резервную копию текущего дампа и делаем перезапись MBR. Сразу пишу, какие из утилит в архиве имеют явно оба функционала и консольный интерфейс: BootIce MBR Wizard MBRFix MBRTool (с этой не разбирался) MBRUtil testdisk-6.14-WIP.win (возможно, ключей не увидел таких, а вручную - функционал есть + она OpenSource) Как определить SN серийного диска - к сожалению пока засада. Мой утиль не всегда корректно определяет (т.е. может не определить вообще). Будет переписывать на C++. А пока юзаем ее. Запускать все утилиты и выполнять все задания только на виртуальной машине!!! И не говорите, что не предупреждал!!! 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	28.08.2013, 15:22 [ТС]	18
	sov44, скажи, а на сколько реально создать загрузочную флешку, не форматируя ее? Не видел такого? Думаю еще на счет варианта 2) сделать подобие Recovery Console. Если в результате перезаписи MBR, нарушилась работа системы (разделы пропали, например), юзеръ сможет прямо из меню выбора ОС вернуть исходный MBR. 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	28.08.2013, 15:58 [ТС]	20
	Ну вот, еще одна ~~бизнес~~ - идея 0