Eltávolíthatatlan vírus fertőz, az alaplapokra szerelt chipekben rejtőzik el
2022-07-31T11:27:19+02:00
2022-08-05T17:29:12+02:00
2022-08-05T17:41:22+02:00
  • Ha elég ügyes a vírus akkor igen. Vannak 2 flash memóriás alaplapok, azzal lehet újraírni úgy, hogy előtte nem arról indult a számítógép. Hogy kiolvasni lehet-e vele azt nem tudom, az enyém 1 flash memóriás, azt az 1-et fájlba tudja menteni, de amin 2 van, nem tudom, hogy mindkettőt fájlba tudja-e menteni, vagy csak az egyiket: van amiről elindult, és a tartalék. Van külön ilyen flash memória író gép, ami direkt erre való: korábban EPROM volt benne, és EPROM-író gépnek nevezték. Van Video BIOS/UEFI is, arra szintén ugyanez, volt is róla cikk itt: a számítógép bekapcsolásakor meghívja az inicializáló rutinját, így az azon levő vírus is aktivizálódik: ilyen flash író kell hozzá, vagy módosított UEFI/BIOS ami nem hívja meg, vagy egy nem IBM PC kompatibilis számítógép ami nem x86 CPU-architektúrájú. Ez a C0000 - C8000 tartományban szokott lenni (768 KB - 800 KB, legalábbis a Sys alaplaú, 80486DX2-66MHz-es régi számítógépemben ott volt). Az UEFI másolata az F0000 - 10 000 tartományban van (960 KB - 1 MB), az eredetije az FFFF 0000 - 1 0000 0000 tartományban (4 GB - 64 KB, 4 GB), de általában az előttelevő rész is az UEFI része, csak bekapcsoláskor nem onnan indul, csak oda ugrik majd: a teljes FF00 0000 - 1 0000 0000 tartomány (4 GB - 16 MB, 4 GB). A CS regiszterben ugyanúgy FFFF van, de 80286-tól kezdve külön tárolva van a szegmens kezdőcíme minden regiszterhez, és ez kezdetben nem 000F FFF0, hanem FFFF 0000. Valós címzésű üzemmódban, amikor a regiszterbe beírnak valamit, akkor beírt új szám * 16 lesz a szegmens kezdőcíme: Pop, LDS/LES, Mov, Jmp, Jfeltétel, Call, Ret, IRet, stb. Ez azért van így, mert védett üzemmódban ugye a táblázatból olvassa ki ezt: GDT/LDT: akkor nem fixen a regiszterben levő szám * 16, hanem külön tárolni kell.
    Mutasd a teljes hozzászólást!
  • Az kemény ! Akkor csak a hardveres kiszedés és másik gépbe való "külső" kiolvasással lehet 100%-osan megállapítani a fertőzöttség állapotát ? 

    Mutasd a teljes hozzászólást!
  • Amikor a számítógépet bekapcsolod, először az UEFI indul el. Ha ez lehetetlenné teszi az UEFI-t tároló flash memória felülírását, akkor nem lehet csak úgy szoftveresen eltávolítani. Még azt is meg tudja csinálni, hogy szimulálja hogy felül lett írva, de az új tartalomhoz ismét hozzáfűzi magát. Amikor meg ki akarod olvasni a jelenlegi tartalmát, akkor meg az eredetit tudja neked mutatni, nem az aktuális fertőzöttet.
    Mutasd a teljes hozzászólást!
  • Szoftveres úton megy be... szoftveres úton nincs is mód rá onnan kiszedni? Néztem az ESET-nek van valamiféle UEFI scanner-e , még nem próbáltam. Olyasmiket írtak, hogy csak read-only-ban tud scannelni.. hogy van ez?  Gondolom itt is úgy megy mint a bios flasher programoknál, hogy típusonként van rá flasher program ?
    Mutasd a teljes hozzászólást!
  • Persze. Alaplapból az UEFI-t meg a BIOS-t tartalmazó 16/32 MB-os flash memóriát kivenni, bele egy azt író gépbe, és rátenni vissza az eredetit. Akartam is írni, de akkoriban hiába kattintottam a hozzászólások gombra, nem nyílt le, így nem tudtam hozzászólást írni: máshova se a pcforum.hu-n, azóta már megjavították.
    Mutasd a teljes hozzászólást!
  • Ha a vírus valahogy be tud oda jutni, azért csak van rá mód onnan kiszedni is ?
    Mutasd a teljes hozzászólást!
abcd