Анти-вирусна програма, която е пригодени да сканира за bootkit

[nikssi]

преди 2 часа, FatMan9 написа:

Пак ще повторя: Искам да разбера дали има bootkit, не rootkit - за rootkit вече ми стана ясно, че не е наличен в системата ми.

Bootkit | Kaspersky IT Encyclopedia

Цитат

A bootkit is a malicious program designed to load as early as possible in the boot process, in order to control all stages of the operating system start up, modifying system code and drivers before anti-virus and other security components are loaded. The malicious program is loaded from the Master Boot Record (MBR) or boot sector. In effect, a bootkit is a rootkit that loads before the operating system.

UEFI as a malware delivery mechanism | Kaspersky official blog

Редактирано 5 юли от nikssi (преглед на промените)

[B-boy/StyLe/]

Бууткитите обикновено заразяват секторите за начално зареждане на диска - MBR и VBR. За Биос-а отговарят друг вид категория рууткити (firmware rootkits).

Bootkits are an advanced form of rootkit. They go even further, seeking to infect the master boot record or volume boot record, so it can act even before the loading of the machine’s operating system.

100 пъти му казах, че ако е сканирал с инструменти за рууткити то автоматично е сканирал и за бууткити. TDSSKiller и останалите с които е сканирал проверяват началните сектори на диска.

Както му казах, че времето им отминава, заради UEFI/Secure Boot.

Bootkit infections are on the decline with the increased adoption of modern operating systems and hardware utilizing UFEI and Secure Boot technologies.

И не на последно място му казах (ама толкова и е разбрал), че най-добре за такива се сканира от жив диск/флашка или да export-не MBR записа от жива Линукс дистрибуция с команда в терминала:

dd if=/dev/sda of=mbr.bin bs=512 count=1

и след това този MBR.BIN се пусне в VirusTotal.

Ако вече иска да провери и дали няма VBR bootkit може този MBR.bin да се провлачи в инструмент като MBR SCAN от Eric_71

Навремето беше популярен за определяне за наличието на (фалшив) 10MB дял от който зареждаше TDL4.

Но тъй като въпросния потребител опява, че не е разбран, а пуска 100 теми в материя в която самия той не е наясно и не може да проумее какво му се пише, аз повече в негови теми няма да пиша.

Чак се чудя дали да си губя времето да му преглеждам логовете от FRST, в темата в подразделя, която е пуснал.

FatMan или какъвто си там, намери си друго хоби. Това не е за теб!

[FatMan9]

преди 1 час, Kolev72 написа:

Разбира се, че няма нищо общо със питането ти. Точно заради това, че не се усещаш(колкото и да се стараеш) и повтаряш едни и същи теми, хората се бъзикат с теб. Прочети ми първият пост! Изпълни го както трябва! Постарай се да вникваш в това, което ти се говори и вероятно точно тогава, ще почнеш да разбираш компютрите а и момата, която ти е на сърце, ще ти пусне малък гювеч. А като стане това , последното, едва ли по вече ще се появиш във форума. Нали знаеш: Рак, мерак и глупак - трудно се лекуват!

Опитай сега, както те посъветвах. И се успокой. Нямаш вируси в Биоса. Хващай момата и и вирни краката!

Разбирам те идеално.

Ако едно нещо ми се обясни точно, ще го разбера от първия път. Проблема е, че не ми се обяснява точно. Дори и в тази тема се напълни с всякакви приказки, но не и отговор на въпроса по темата.

"Нямаш вируси в Биоса."

Може ли да обясниш как знаеш това? Обясни, за да разбера. Да не би да е 100% сигурно, че UEFI е напълно непробиваем? Доколкото знам, никой софтуер не е 100% непробиваем.

Добре - просто ми обясни защо си толкова сигурен, че нямам вируси в БИОС-а.

[Coco1]

преди 1 минута, FatMan9 написа:

Доколкото знам, никой софтуер не е 100% непробиваем.

Аргументи имаш ли

[0000000]

на 2.05.2022 г. в 9:51, bootlicker (Мазния) написа:

Някоя от темите ми нарушава ли правилата на форума? Ако не, тогава защо да ме баннват?

Каква вина имам, че съм прост и не разбирам? Като не разбирам, ще пускам теми и ще задавам въпроси, за да ми отговорят и да се уча.

[Емил Костов]

преди 4 минути, B-boy/StyLe/ написа:

Бууткитите обикновено заразяват секторите за начално зареждане на диска - MBR и VBR. За Биос-а отговарят друг вид категория рууткити (firmware rootkits).

Bootkits are an advanced form of rootkit. They go even further, seeking to infect the master boot record or volume boot record, so it can act even before the loading of the machine’s operating system.

100 пъти му казах, че ако е сканирал с инструменти за рууткити то автоматично е сканирал и за бууткити. TDSSKiller и останалите с които е сканирал проверяват началните сектори на диска.

Както му казах, че времето им отминава, заради UEFI/Secure Boot.

Bootkit infections are on the decline with the increased adoption of modern operating systems and hardware utilizing UFEI and Secure Boot technologies.

И не на последно място му казах (ама толкова и е разбрал), че най-добре за такива се сканира от жив диск/флашка или да export-не MBR записа от жива Линукс дистрибуция с команда в терминала:

dd if=/dev/sda of=mbr.bin bs=512 count=1

и след това този MBR.BIN се пусне в VirusTotal.

Ако вече иска да провери и дали няма VBR bootkit може този MBR.bin да се провлачи в инструмент като MBR SCAN от Eric_71

Навремето беше популярен за определяне за наличието на (фалшив) 10MB дял от който зареждаше TDL4.

Но тъй като въпросния потребител опява, че не е разбран, а пуска 100 теми в материя в която самия той не е наясно и не може да проумее какво му се пише, аз повече в негови теми няма да пиша.

Чак се чудя дали да си губя времето да му преглеждам логовете от FRST, в темата в подразделя, която е пуснал.

FatMan или какъвто си там, намери си друго хоби. Това не е за теб!

Нямате си друга работа сър! Аз ви предупредих! Сега ще гледате на логовете логовете.

[0000000]

преди 4 минути, FatMan9 написа:

Разбирам те идеално.

Ако едно нещо ми се обясни точно, ще го разбера от първия път. Проблема е, че не ми се обяснява точно. Дори и в тази тема се напълни с всякакви приказки, но не и отговор на въпроса по темата.

"Нямаш вируси в Биоса."

Може ли да обясниш как знаеш това? Обясни, за да разбера. Да не би да е 100% сигурно, че UEFI е напълно непробиваем? Доколкото знам, никой софтуер не е 100% непробиваем.

Добре - просто ми обясни защо си толкова сигурен, че нямам вируси в БИОС-а.

Ти сам си отговаряш!

на 2.05.2022 г. в 9:51, bootlicker (Мазния) написа:

Каква вина имам, че съм прост и не разбирам? Като не разбирам, ще пускам теми и ще задавам въпроси, за да ми отговорят и да се уча.

[B-boy/StyLe/]

преди 4 минути, Емил Костов написа:

Нямате си друга работа сър! Аз ви предупредих! Сега ще гледате на логовете логовете.

Хич няма и да се занимавам. То така или иначе ще има теми. те му подсказаха вече за IME на Intel и алтернативата PSP на AMD....

Като стигне до side-channel атаките и тогава ще приключи всичко...

[Емил Костов]

преди 3 минути, B-boy/StyLe/ написа:

Хич няма и да се занимавам. То така или иначе ще има теми. те му подсказаха вече за IME на Intel и алтернативата PSP на AMD....

Като стигне до side-channel атаките и тогава ще приключи всичко...

нямам памперси. Имайте поне малко милост!

[0000000]

Какво очаквате от човек който не уважава себе си и се нарича прост? Очаквате ли да ви разбере и да не казвам да уважи труда, менията и коментарите със които се опитвате да му помогнете? Дори се съмнявам дали прочита това което му пишете.

[Емил Костов]

току-що, ДзВяРа! написа:

Какво очаквате от човек който не уважава себе си и се нарича прост? Очаквате ли да ви разбере и да не казвам да уважи труда, менията и коментарите със които се опитвате да му помогнете? Дори се съмнявам дали прочита това което му пишете.

Това е ясно. Не сме очаквали нещо друго. Целта е да не паранояса някой друг, който чете темите, защото повярвай ми има такива хора. Та поне тях да спасим.

[FatMan9]

преди 4 минути, B-boy/StyLe/ написа:

Бууткитите обикновено заразяват секторите за начално зареждане на диска - MBR и VBR. За Биос-а отговарят друг вид категория рууткити (firmware rootkits).

Това го знам.

преди 4 минути, B-boy/StyLe/ написа:

Bootkits are an advanced form of rootkit. They go even further, seeking to infect the master boot record or volume boot record, so it can act even before the loading of the machine’s operating system.

Знам.

преди 5 минути, B-boy/StyLe/ написа:

100 пъти му казах, че ако е сканирал с инструменти за рууткити то автоматично е сканирал и за бууткити. TDSSKiller и останалите с които е сканирал проверяват началните сектори на диска.

Добре. Да, използвах и TDSSKiller преди два дни - и тази програма показа, че е чисто.

Началните сектори на диска нямат вирус - разбрано. А как да разбера дали има вирус в Firmware чипа?

преди 6 минути, B-boy/StyLe/ написа:

Както му казах, че времето им отминава, заради UEFI/Secure Boot.

Това го разбрах още преди една седмица, когато четох неща в интернет. Дори и да им отминава времето, това не означава, че няма как да ми инфектират системата и да заобиколят Secure Boot. Защо мислиш, че добре написан код не би могъл да заобиколи Secure Boot?

преди 15 минути, B-boy/StyLe/ написа:

И не на последно място му казах (ама толкова и е разбрал), че най-добре за такива се сканира от жив диск/флашка

Това го знам по принцип. Мислех за използвам Windows PE, но се отказах защото ми се видя слжгно...

преди 24 минути, B-boy/StyLe/ написа:

или да export-не MBR записа от жива Линукс дистрибуция с команда в терминала:

dd if=/dev/sda of=mbr.bin bs=512 count=1

и след това този MBR.BIN се пусне в VirusTotal.

Ще пробвам и този метод.

[B-boy/StyLe/]

Ама ти всичко знаеш ама хич не си личи (особено по броя на темите).

[NewRedDragon]

преди 1 минута, FatMan9 написа:

защото ми се видя слжгно...

На маймуната и пишещата машина и дойде сложно - ама с упоритост, успя да я "убие"

[Kolev72]

Може ли да обясниш как знаеш това? Обясни, за да разбера. Да не би да е 100% сигурно, че UEFI е напълно непробиваем? Доколкото знам, никой софтуер не е 100% непробиваем.

Добре - просто ми обясни защо си толкова сигурен, че нямам вируси в БИОС-а.

Прочети няколко пъти поста на  "B-boy/StyLe/"

Той много накратко  е обяснил, но чети и мисли над всяка негова дума. Естествено,ти няма да го направиш а ще продължиш да си питаш ей тъй" за забавление" както спомена по рано. Аз съм далеч от неговите знания в тази материя, за да ти обяснявам а и не ми е това работата да го зная, най вече да обяснявам на когото и да било. Тук правиш и много основна грешка: трябва да знаеш много добре, че това е форум и всичко от което се интересуваш при положение , че ти се отговаря, става НА ДОБРАВОЛЯ. Това много добре го запомни и не дотягай на хората. Никой не е длъжен даже 1 буква да ти напише. Не си позволявай да нахалстваш със темите си, че ще срещнеш разбиране от хората. Във форума (в този също) с първите си месеци показваш що за човек си и не е проблема във хората че те хокат или ти се подиграват, а в теб. Защото при всичките други твои отрицателни представяния тук, ставаш и твърде нахален. Допуснал си го да се случидо сега(7,8 месеца) от тук нататък ще ти е много трудно да постигнеш някакво уважение от хората от форума. Ако си такъв и в живота(а то си е видно) там също ще бъдеш отритнат от обществото.   Дано бъркам, но все ми се струва че има нещо сериозно нарушено  в теб и по точно в главата ти.

Трябва ти много време да се промениш, ако това е възможно, но ако не го направиш, рано или късно ще дойде моментът, в който ще те изгонят от тук - завинаги. Дали нарушаваш правилата или не на форума, няма да има значение. Ще има значение твоето отношение и действия, спрямо членовете на форума.

Лека вечер ти желая и се вземи в ръце.

[FatMan9]

преди 21 минути, B-boy/StyLe/ написа:

те му подсказаха вече за IME на Intel

Мерси, че ми показа това - сега започвам програма по изучаването му.

преди 10 минути, B-boy/StyLe/ написа:

Ама ти всичко знаеш ама хич не си личи (особено по броя на темите).

Не е нужно да се разпалваш емоционално - успокой се. Имам много теми, тъй като другите не ми дават конкретни отговори. Когато едно нещо ми бъде обяснено точно, аз го разбирам от първия път - както е в случая с повечето твои обяснения.

[NewRedDragon]

преди 2 минути, FatMan9 написа:

Мерси, че ми показа това - сега започвам програма по изучаването му.

Утре лимита ти е 10 теми  

[The Rage]

преди 5 минути, FatMan9 написа:

Мерси, че ми показа това - сега започвам програма по изучаването му.

Не е нужно да се разпалваш емоционално - успокой се. Имам много теми, тъй като другите не ми дават конкретни отговори. Когато едно нещо ми бъде обяснено точно, аз го разбирам от първия път - както е в случая с повечето твои обяснения.

Обеснявам точно-престани да се мъчиш(и нас),с компютрите.Бъди прост потребител.Игрички,браузване...

[Емил Костов]

Утре ще изгори на Калин сървъра.

току-що, The Rage написа:

Обеснявам точно-престани да се мъчиш(и нас),с компютрите.Бъди прост потребител.Игрички,браузване...

Де тоя късмет! 

[vlado1985]

преди 3 часа, FatMan9 написа:

Добър ден. На няколко пъти пуснах теми, в които питам за BIOS/UEFI вируси. Всеки път ме разбирате погрешно - давате ми програми, които сканират за rootkit, не за bootkit.

Използвах няколко програми, като AVG, Malwarebytes, Bitdefender - и трите показаха, че няма налични rookits. Добре, разбрах, няма rootkits. А как да разбера дали има bootkits, по напредналите версии на rootkit? Коя анти-вирусна програма може да сканира за наличие на bootkit?

Пак ще повторя: Искам да разбера дали има bootkit, не rootkit - за rootkit вече ми стана ясно, че не е наличен в системата ми.

Аз само немога да разбера защо толкова много си си втълпил че имаш вирус в биос. А кажи ми сега ос зарежда ли ти нормално ? като влизаш в биос пуска ли те нормално ? ако ти зарежда нормално системата и в биос те пуска нормално едва ли ще имаш вирус. То не че няма вируси които немогат да ти съсипят и скапят биос. Има такива но повечето от тях са стари ще ти дам един, пример с мен преди години ми се лепна някакъв вирус и докато реагирам на време за няма и 2 минути ми събра двата, дяла и се хванах в чудо. Няколко дни след това един приятел ми прати някаква снимка обаче келеша бил прикрепил някаква команда с bat file към снимката та той ми форматира само д то без да има мизерии по ц то. Чичо ти Стефчо ти е написал много добре и правилно да не се занимаваш с глупости и да си хванеш някое моме с което да се занимаваш ама ти не та не. Все едно аз сега да почна да мрънкам и да пускам постоянно теми за дъртия ми процесор който си грее като не видял и оправия, с него няма та даже му взех нов, охладител който от първия път като го сложих се озори. И се наложи да го върна на тези от ардес бг и в момента чакам отговор от тях какво става ама на мен ми е пределно ясно че процесора вече е дал фира ама все пак гледам да го охлаждам та даже вчера си играх да префлашна и биоса макар че нямам по нова версия за него и пак няма оправия. А какво остава да кажа и за дъното като и то е дърто от пантивека, и тези от биос стар са пуснали за платката ми win10 win11 ама драйвери за тези 2 операционни системи в сайта им йок няма само един драйвер и то за звука друго нищо . Та мисълта ми беше друга ако толкова много си мислиш и си убеден че имаш вирус в биос, вземи го префлашни макар че в другата ти тема те посъветвах да не го правиш, това ако незнаеш какво правиш. Или най добре вземи машината занеси я в някой сервиз и там ще ти префлашнат биоса даже ако се наложи ще го разпоят от дъното и ще го препрограмират. Тогава дори и да е имало вирус в биоса след препрограмирането няма да има никаква следа от него същото се отнася и с префлашването като си префлашнеш биоса дори и да е имало вирус след префлашването няма да има следа от вируса.

[mkkostov]

https://www.eset.com/bg/2018/uefi-rootkit-cyber-attack-discovered/

ESET е единственият голям производител на решения за интернет сигурност, който добавя специално ниво на защитав лицето на ESET UEFI Scanner, специално създадено за засичането на злонамерени компоненти във фърмуеъра.

ESET UEFI Scanner е инструмент, който отключва фърмуеъра за сканиране. Впоследствие кодът на фърмуеъра е сканиран от технологиите за засичане на злонамерени кодове. 

[FatMan9]

преди 30 минути, The Rage написа:

Обеснявам точно-престани да се мъчиш(и нас),с компютрите.Бъди прост потребител.Игрички,браузване...

Не! Аз трябва да разбирам нещата в дълбочина, не просто повърхностно.

преди 30 минути, vlado1985 написа:

Аз само немога да разбера защо толкова много си си втълпил че имаш вирус в биос. А кажи ми сега ос зарежда ли ти нормално ? като влизаш в биос пуска ли те нормално ? ако ти зарежда нормално системата и в биос те пуска нормално едва ли ще имаш вирус. То не че няма вируси които немогат да ти съсипят и скапят биос. Има такива но повечето от тях са стари ще ти дам един, пример с мен преди години ми се лепна някакъв вирус и докато реагирам на време за няма и 2 минути ми събра двата, дяла и се хванах в чудо. Няколко дни след това един приятел ми прати някаква снимка обаче келеша бил прикрепил някаква команда с bat file към снимката та той ми форматира само д то без да има мизерии по ц то. Чичо ти Стефчо ти е написал много добре и правилно да не се занимаваш с глупости и да си хванеш някое моме с което да се занимаваш ама ти не та не. Все едно аз сега да почна да мрънкам и да пускам постоянно теми за дъртия ми процесор който си грее като не видял и оправия, с него няма та даже му взех нов, охладител който от първия път като го сложих се озори. И се наложи да го върна на тези от ардес бг и в момента чакам отговор от тях какво става ама на мен ми е пределно ясно че процесора вече е дал фира ама все пак гледам да го охлаждам та даже вчера си играх да префлашна и биоса макар че нямам по нова версия за него и пак няма оправия. А какво остава да кажа и за дъното като и то е дърто от пантивека, и тези от биос стар са пуснали за платката ми win10 win11 ама драйвери за тези 2 операционни системи в сайта им йок няма само един драйвер и то за звука друго нищо . Та мисълта ми беше друга ако толкова много си мислиш и си убеден че имаш вирус в биос, вземи го префлашни макар че в другата ти тема те посъветвах да не го правиш, това ако незнаеш какво правиш. Или най добре вземи машината занеси я в някой сервиз и там ще ти префлашнат биоса даже ако се наложи ще го разпоят от дъното и ще го препрограмират. Тогава дори и да е имало вирус в биоса след препрограмирането няма да има никаква следа от него същото се отнася и с префлашването като си префлашнеш биоса дори и да е имало вирус след префлашването няма да има следа от вируса.

Работя по въпроса с потенциалните вируси в БИОС-а. Проверки след проверки правя - нищо не се намира. В момента правя финални проверки - ако не намеря нищо, значи е чисто.

Днес изгледите за наличие на такива вируси в системата са ми значително по-ниски от изгледите преди една седмица.

преди 33 минути, Емил Костов написа:

Утре ще изгори на Калин сървъра.

Де тоя късмет! 

Какъв ти е проблема с мен?

[The Rage]

преди 1 минута, FatMan9 написа:

Не! Аз трябва да разбирам нещата в дълбочина, не просто повърхностно.

Някои хора,просто не стават.Затова има толкова много професии.

Десет пъти ти казах-Като искаш да разбираш,учи.От "А","Б"...Ти си започнал от "Щ".Влязъл в тъмната мрежа,даже и теглил.После се сетил,че му трябва защита.И сега,две седмици мъчи целерончето,със сканирания.Преди това,му ева мамата,от преинстали.И на солидният.

[vlado1985]

преди 4 минути, FatMan9 написа:

Работя по въпроса с потенциалните вируси в БИОС-а. Проверки след проверки правя - нищо не се намира. В момента правя финални проверки - ако не намеря нищо, значи е чисто.

Днес изгледите за наличие на такива вируси в системата са ми значително по-ниски от изгледите преди една седмица.

Абе момче стгига си се занимавал с глупости ползвай си машината както си ти е в момента и не се занимавай с глупости. Нали те пуска в биос без проблеми ако те пуска в биос без проблеми и там каквото правиш всичко е ок си ползвай машинката така докато може още да работи