bga83, кстати, а драйвер является прослойкой между ОС и железом ?

bga83loginovruтак я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы!ты ни черта не понял из того, что я написал про Рутковскую. Ядро системы в ее случае остается не тронутым и ничего нового в ядре не запускается, просто между железом и ОС появляется дополнительная "прослойка", которая живет своей жизнью и стандартными способами не обнаруживается

да все я понял, все равно будет висеть в памяти какая-то несуществующая на диске библиотека или драйвер например, но это не совсем прослойка...

bga83, о каком гипервизоре идет речь ? напишите название от Рутковской

bga83, ага, почитал, но не написано самого интересного, как происходит заражение ?

netwind,

так подскажите утилиты чем можно систему поизучать ? Есть ли такие для Linux ?

bga83, вы тут Blue Pill, а вот вам от АНБ методы ))) Вот теперь понятно как они файлы добывают )))

1. GINSU — техника позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.

2. IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, EXT3 и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера.

это вообще жесть, с прошивкой жестко диска, замещение mbr.....

3. SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и HPA области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам(Windows, FreeBSD, Linux, Solaris) c различными файловыми системами(FAT32, NTFS, EXT2, EXT3, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в HPA область диска SWAP и его функциональная часть.

4. COTTONMOUTH-II аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.

5. COTTONMOUTH-III аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси.

6. FIREWALK аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III, такой же блок разъемов(RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY.

вот это вообще пипец, скорее всего уже новые мамки наверняка с такими идут "изделиями" вот это самая жестка по всей видимости закладка, вот и как такое выявлять ???? )) а точнее чем ??


http://habrahabr.ru/post/209746/

netwind, так давайте познакомимся - мож че интересного расскажет про комп. безопасность и наверняка у нее утилы есть для анализа системы