Могут ли вирусы в "мусоре" оперативной памяти извлечь что то полезное из работы других программ?

@PeterBr · Регистрация: 15.04.2016

Студворк — интернет-сервис помощи студентам

новичок. Если в микроконтроллерах возможно прочитать любой участок памяти типа int a=*(int*)0x867300); то в Виндовсе такое вызывает ошибку, хотя программа компилируется нормально.
Но если записать

C++
1
2
3
4
5
6
7
int i=5;
    int *p;
    p=&i;
 
    for(int i=0; i<1000; i++)
    printf( "%c", *(p+i) );
    return 0;

и выводить все, то там не только мусор, но и разные пути к файлам и даже какие то элементы работы графической платы NVIDIA встречаются, что явно не от моей программы hellow world произошло. Интересует, могут ли вирусы подобным образом читать данные из оперативной памяти, и что то извлекать полезное из мусора? Если работает одна программа, то может ли другая программа прочитать её регистры памяти ?

quwy · 12.05.2016, 13:06

Сообщение от PeterBr

то в Виндовсе такое вызывает ошибку, хотя программа компилируется нормально.

Это только для пользовательского режима ошибка вылетает. Из драйвера ядра можно читать что угодно.

Сообщение от PeterBr

даже какие то элементы работы графической платы NVIDIA встречаются, что явно не от моей программы hellow world произошло

Ваша программа может читать только свою память, но проблема в том, что при выделении этой памяти из общего пула ничего не затирается, и поэтому там может быть все что угодно от предыдущих "хозяев".

Сообщение от PeterBr

Интересует, могут ли вирусы подобным образом читать данные из оперативной памяти, и что то извлекать полезное из мусора?

Могут.

Сообщение от PeterBr

Если работает одна программа, то может ли другая программа прочитать её регистры памяти ?

Регистры тут не при чем. А память прочитать может, если у нее есть право загрузки драйвера уровня ядра (многие вирусы работают как раз таким образом).

Evg · 13.05.2016, 01:11

В "обычных" процессорах есть понятие виртуальной памяти, которого нет в микроконтроллерах. Все пользовательские процессы работают в виртуальном адресном пространстве, которое операционная система отображает на физическую память. Если в двух разных программах обратиться к одному и тому же виртуальному адресу, то в общем случае это будут обращения к разным физическим адресам. Напрямую работать по физическим адресам пользовательские программы не могут, сие можно выполнить лишь с уровня ядра операционной системы. Возможно обращение в виртуальную память другого процесса, но только через обращение к операционной системе и с учётом прав доступа

Вирусы, думается, являются обычными пользовательскими программами с точки зрения операционной системы. По физической памяти свободно лазить они не могут. В виртуальную память другого процесса залезть могут, если будут иметь достаточный уровень привилегий (типа запущены из-под администратора или что-то типа того)

Вирус, конечно, может заказать себе динамическую память и попробовать в ней поковыряться, надеясь, что там что-то осталось от предыдущих программ. Но такой метод очень сомнительный, потому что ковыряться в памяти, не зная, что она из себя представляет, большой пользы не принесёт. Если бы это могло наносить ущерб, то операционная система при заказе страницы памяти попросту обнуляла бы её (а может так оно на самом деле и делается, если память отобразилась на физическую страницу, которой уже пользовался кто-то другой)

Добавлено через 1 минуту

Сообщение от PeterBr

Если работает одна программа, то может ли другая программа прочитать её регистры памяти ?

Может в том числе прочитать и регистры. Через операционную систему, если есть на это достаточно привилегий. Отладчик именно так и работает - посредством операционной системы он ковыряется в чужом адресном и регистровом пространстве

quwy · 13.05.2016, 11:55

Сообщение от Evg

Вирусы, думается, являются обычными пользовательскими программами с точки зрения операционной системы.

Любой мало-мальски уважающий себя вирус уже давно имеет ядерный модуль для скрывания своего присутствия в системе (как минимум). Чисто из третьего кольца работают только всякие школьнические поделки-вымогатели.

Evg · 13.05.2016, 12:38

Сообщение от quwy

Любой мало-мальски уважающий себя вирус уже давно имеет ядерный модуль для скрывания своего присутствия в системе (как минимум)

И имеет возможность обращаться по физическим адресам или по виртуальным адресам произвольного процесса?

quwy · 13.05.2016, 12:49

Сообщение от Evg

И имеет возможность обращаться по физическим адресам или по виртуальным адресам произвольного процесса?

А кто ж ему помешает?

Evg · 13.05.2016, 13:01

Пичаль

quwy · 13.05.2016, 13:08

Сообщение от Evg

Пичаль

Ниче, в 64-битных Windows загружать неподписанные драйвера нельзя, так что теперь проще. Правда, некоторые вирусописатели используют чужие скомпроментированные ключи и поражают-таки не обновляемые вовремя системы, но это уже не так массово, как было во времена x86.

Evg · 13.05.2016, 13:26

Если драйверу позволено всё, то в общем случае систему практически невозможно спасти от атаки. Микроядерные операционки в этом смысле более защищённые, т.к. драйверы уже не имеют нужных привилегий, но там наверное проблемы с производительностью. Может с чем-то ещё, если "обычные" операционки по такой схеме не делают, а для вопросов защиты впихивают в интеловский процессор всё больше и больше всяких аппаратных фич

quwy · 13.05.2016, 14:44

Сообщение от Evg

Если драйверу позволено всё, то в общем случае систему практически невозможно спасти от атаки.

Вот механизм ЭЦП драйверов и решает проблему. Подпись драйвера проверяет ядро. Чтобы влезть в ядро и отключить этот механизм нужен драйвер. Но зачем нам что-то отключать, если драйвер уже есть? Замкнутый круг. Приходится, конечно, производителям железа раскошеливаться на WHQL, но зато количество невыковыревоемой заразы сократилось в разы.

Сообщение от Evg

проблемы с производительностью

К сожалению да. Шлюзование довольно дорого. Но, с другой стороны, современные процессоры позволили начиная с Vista вынести весь GUI в userspace, что есть хороший шаг к частичной микроядерности.

Сообщение от Evg

впихивают в интеловский процессор всё больше и больше всяких аппаратных фич

Тут сильно не разгуляешься без потери обратной совместимости. Даже такая безобидная вещь как NXE и то сломала огромное количество софта.

@nmcf · 13.05.2016, 16:24

Сообщение от quwy

Ниче, в 64-битных Windows загружать неподписанные драйвера нельзя, так что теперь проще.

Проще в чём? Что свой драйвер не сможешь установить? Подпись-то не сделать.

quwy · 13.05.2016, 16:38

Сообщение от nmcf

Проще в чём?

В том, что руткит простым запуском EXE-шника не подцепишь, см. тему.

Сообщение от nmcf

Что свой драйвер не сможешь установить?

Если разрабатываешь драйвера, запускай систему в отладочном режиме и все будет устанавливаться. 99999 из 100000 пользователей свои драйвера разрабатывать не нужно, а вот от вирусни защита как раз очень нужна.

Новые блоги и статьи Все статьи Все блоги /
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .
Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .

Evg 21281 / 8305 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.05.2016, 13:01
	Пичаль 0

Evg 21281 / 8305 / 637 Регистрация: 30.03.2009 Сообщений: 22,660 Записей в блоге: 30
	13.05.2016, 13:26
	Если драйверу позволено всё, то в общем случае систему практически невозможно спасти от атаки. Микроядерные операционки в этом смысле более защищённые, т.к. драйверы уже не имеют нужных привилегий, но там наверное проблемы с производительностью. Может с чем-то ещё, если "обычные" операционки по такой схеме не делают, а для вопросов защиты впихивают в интеловский процессор всё больше и больше всяких аппаратных фич 0