24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Привет, двач. Я тут наткнулся на хабре на статью в которой написано, что вирусы могут находится в оперативной памяти. Это действительно так? Или вирус находится на HDD и после загрузки системы выгружается в ОЗУ? Спасёт ли в таком случае переустановка ОС?
>>188583088 >>188583105 >Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника. Ты жопой статью читал?
>>188583131 Ну тогда держи. >>188583105 Вирусу не обязательно находится непосредственно на жёстком диске. Например при установки пиратской игры выложенной "VASIAN228" он прописался в реестр/планировщик задач/место системы нейм и даже после удаления программы от васяна будет находится в системе, а дальше зависит от вируса. Может создавать приложение со своими параметрами тем самым попадая в оперативную память где его сможет вычислить любой вменяемый антивирус, а может делать другие интересные вещи вообще никак себя не проявляя и хуй ты его сам обнаружишь, быстрее покемонов на своём компьютере найдёшь чем его даже с помощью антивируса.
>>188583189 Грамотно сделанный вирус будет сидеть в реестре и не отсвечивать лишний раз, никаким сканером его не найдёшь, а когда придёт его время, то он дырку и сольёт через неё все твои логины/пароли от всего что успел собрать.
>>188583189 >>188583218 Когда скажешь, то скажи, если бы ты был разрабом антивируса, то как бы ты отличал записи в реестр нормальных программ от вирусов?
>>188583194 >Вирусу не обязательно находится непосредственно на жёстком диске >он прописался в реестр/планировщик задач/место системы нейм и даже после удаления программы от васяна будет находится в системе Эм.. А разве это всё дело находится не на HDD?
>Может создавать приложение со своими параметрами тем самым попадая в оперативную память где его сможет вычислить любой вменяемый антивирус Так а почему в таком случае пишется, что антивирусы его не обнаруживают?
>>188583231 >Грамотно сделанный вирус будет сидеть в реестре и не отсвечивать лишний раз, никаким сканером его не найдёшь Так а блять, разве реестр не сканируется антивирусом?
>>188583262 >Эм.. А разве это всё дело находится не на HDD? Конечно находится (и правильно писать не HDD, а локальный диск, потому что помимо HDD есть SSD и прочее) ведь реестр физически находится в папке с виндой, переустановка винды поможет, но она от чего угодно поможет, это слишком крайний метод.
>>188583335 на каждой плашке памяти есть ещё и спи флешка вполне доступная средствами ОС вот туда и пишется голова а тело мертвяком лежит где угодно даже у аллаха
>>188583293 Ну, например, coldboot. Но это так, к слову. А есть старая память, которой нужно очень долго быть обесточенной, чтобы вся инфа потерялась. У меня был такой старый комп 286, там после перезагрузки или 5 минут выключения при старте доса можно было увидеть остатки предыдущих запущенных программ. Это у меня вызывало тогда дикое охуевание.
>>188583283 Антивирусы сканируют и чинят реестр, но не занимаются оттуда удалением того что пожелают нужным иначе бы ты охуел уже через день его использования.
>>188583080 В каждой шутке только доля шутки, кстати. В современных планках ОЗУ есть персистентная область, в которой хранится инфа о частотах, серийный номер и всякое такое. Теоретически можно записать туда хуйню, вызывающую переполнение в коде прошивки пекарни и выполнить произвольный код с правами SMM.
>>188583411 Потому что это файл со своей ебанутой структурой, который при загрузке винды разворачивается в память и только тогда становится доступным для редактирования.
>>188583507 Ничего не скажу. Я таким экстримом не занимаюсь. А можно еще в UEFI свою прогу добавить попытаться Там и места больше и возможностей и даже конпелятор вижуал студии тебе бинарник соберет.
>>188583411 Особенности реестра виндовс. Антивирус поможет не пустить в твою систему вирусы, отчистить от особо наглых в памяти и стереть с диска тех кто не умеет прятаться конкретно от этой версии, а так же всех кого посчитает опасным, но он не поможет если ты уже обосрался и вирус прописан в реестре и не важно как он туда попал антивирус его пропустил в своё время и позволил тебе запустить васяноэкзешник который прописал всё нужное там или намеренно повёлся на совет "добавить в исключение антивируса, бля буду нет там вирусов устанавливай, брат, всё бесплатно" или у тебя вообще его не было. Антивирус умеет, но не станет ломать реестр потому что даже работая на диске и удаляя даже не опасные программы потому что ему показалось и это приносит дискомфорт, то произвольное удаление записей из реестра может привести к не рабочей системе в целом.
>>188583507 Тебя жиром поливают. Записать что либо в эту область можно только на заводе, дальше область не записываемая. Стерев оттуда данные ты уничтожишь планку памяти, она вообще станет не рабочей.
>>188583544 >Ничего не скажу. Я таким экстримом не занимаюсь. Ну а теоретически они могут быть правы и подобная уязвимость имеет место быть?
>А можно еще в UEFI свою прогу добавить У меня биос, с уефи дела ни разу не имел и слабо понимаю что это. Знаю что это современный аналог биоса и всё. Но если туда можно что-то подобным образом записывать, то это пиздец.
>>188583585 То есть в восьминогую хуйню ничего записать нельзя и прог для работы с спд нет?
Но там братишка такое писал: >скачай любую программу для проверки памяти и попробуй понять откуда планка знает что она корсар и номер у неё 5467652347856723 и обьём она свой знает >>188583398
>>188583654 Ну так нужно было отвезти его в антивирусную (больницу) и тогда врачи просканировав его (взяв анализы), дали бы ему всякие утилиты (антибиотики) и хотя бы попытались его спасти.
>>188583666 Я тебе статью на википедию принес тупорез >SMBus controller support in the kernel, the EEPROM kernel driver, and also that the SPD EEPROMs are connected to the SMBus
В смб нужно писать иначе комплюктер работать не будет
>>188583688 >Memory module manufacturers write the SPD information to the EEPROM on the module. Motherboard BIOSes read the SPD information to configure the memory controller >Chipset-independent reading and writing of SPD information is done by accessing the memory's EEPROM directly with eeprom programmer hardware and software.
>>188583708 Ну таблетки какие-то. Я хуй знает, врачи бы уже разобрались, тебе нужно было его просто в больницу доставить. Но ты, долбоёб, этого не сделал.
>>188583736 >Chipset-independent Это означает что 100% гарантия на чтения всей флешки гарантирована только чтением програматором а по смб однозначно доступна отмапленая часть памяти которая зависит от чипсета и биоса
---=== SPD EEPROM Information ===--- EEPROM CRC of bytes 0-116 OK (0xAEA4) # of bytes written to SDRAM EEPROM 176 Total number of bytes in EEPROM 256 Fundamental Memory type DDR3 SDRAM Module Type SO-DIMM
>>188583770 Уебанец у тебя в ме регионе только 512кб свободно при 4х метровой флешке и ещё почти метр в видяхе и 512кб в сетевухе под бутром уёбки блядь иди в школу и да это все подключено к смб и доступно для записи и чтения
>>188583789 >в ме регионе Чтение и запись только из-под самого ME. >в сетевухе Запись только в SMM-режиме. >в видяхе Контроль целостности на стороне видяхи, начиная с 900 серии.
Сколько бы не бывал в подобных тредах, он всегда наполнен подобными обитателями. Но если копнуть глубже, то практически всегда вся эта дичь отсеивается и остаётся несколько вменяемых человек которые действительно разбираются в вопросе.
>>188583734 Он всегда полезен. Если у тебя есть один вирус на компьютере который может себя вовсе никогда не проявить (например сервер куда сливает информацию вирус уже давно отключён) или же антивирус обновился/появился и закрыл ту дырку через которую вирус должен был сливать инфу, то это не значит что можно пускать к себе ещё больше вирусов которые не будут себя так тихо вести.
>>188583842 Это я понимаю. Но как бы сама суть, что если ты уже где-то подхватил вирус который уже прописался в реестре, то антивирус уже бесполезен. Например пользовался раньше бесплатным-слабым и решил потом перейти на платный, который более надёжный. Но если бесплатный напропускал всякой дичи в реестр, то и платный всё равно уже не поможет в данном случае.
>>188583860 Но зато можно принимать всякие препараты, которые будут улучшать состояние человека. Если бы ты отвёз своего брата в больницу, то врачи бы тебе это сказали.
>>188583876 у тебя тело все равно где то на диске лежит и антивирус по идее должен его найти надо фаерволл ставить тогда худшее что тебе светит это вирус шифровальщик или вирус забивающий весь диск цп и свастикой но не шлющий заявки в отдел
>>188583862 Так там подпись проверяется. При обновлении ME образ кладется по такому-то адресу и SMM дергает сам ME через API, чтобы тот проверил его и обновился. Никто тебе не даст туда писать произвольно. Когда год назад нашли уязвимость, которая позволяла писать туда свой код программатором, с физическим доступом к флешке, и то было вони до небес, и патч сразу выкатили, а ты говоришь, запись из-под ОС.
>>188583871 Можно, но дело в том что эти картинки должны откуда то попасть на компьютер, специалисты проанализируют код, вычислят откуда шла передача картинок и ты поедешь за это на бутылку.
>>188583842 Нихуя. Антивирус имеет всегда конские права, а сам защищен может быть хуй пойми как, и это даже никто не может отреверсить толком, ибо вендор все обфусцирует люто. Там может быть дикое легаси, кишащее уязвимостями, типа автоматическое открытие всех архивов при помощи 7-zip 2005 года выпуска, и в итоге у тебя вирус сможет прописаться даже без запуска, просто при скачивании файла.
>>188583915 на счёт десятки не уверен но в семерке скриптом вполне можно загрузится в смм под видом чекдиска и творить что хочу
>>188583935 реестр ни что там путей запуска с повышеными правами кот наплакал и все они известны тут проблемма больше в руткитах когда эксплуатируется уязвимость и антивирусу просто не хватает прав что то сделать с вирусом а может и просто увидеть его процесс
>>188583047 (OP) Выключаешь пекарню, отключаешь от сети на 10 минут, и у тебя абсолютно пустые плашки. Для уверенности - на 20 минут, вытаскиваешь батарейку из мамки и вынимаешь плашки на 10 минут сверху. Все, у тебя девственно пустая память, представляешь?!
>>188583970 Это вообще не зависит от ОС же, только от самой прошивки. Чекдиск венды не выполняется в SMM. Если прошивка старая, то там нет защиты вообще, либо уязвимые хэндлеры, тогда ты с любой системы можешь туда прописать свой код. Если прошивка новая, то там вообще гроб гроб BLE BootGuard, и хуй что запишешь, если не найдешь какой-нибудь хитрый зеродей у конкретного вендора.
>>188583994 > игры Так они и на линуксе работают. Виндовые. Из коробки, без лишних заебов. Нажал установить в стиме и играешь. Совсем ты от жизни отстал.
>>188583994 Сижу на шинде с прямыми руками, бекапами, и без антивируса. Думаю, что вирусов нет, ну или по крайней мере, пока себя ещё не проявили, брат жив, игори работают. Завидуйте, прыщебляди.
>>188584071 У тебя вся надежда на том, что он точно вирус найдет. Сам ты уже 100% часть какого-нибудь ботнета. Ещё если вспомнить дыру с smb, где даже антивирус хуй что нашел бы.
>>188584077 Кто тебе мешает его отреверсить и проанализировать? Он не обфусцирован, бери образ да смотри. Тогда уж лучше вспомнить про Домаса с его бэкдорами в CPU.
>>188584109 > отреаерсить и проанализировать > не обфусцирован И зачем мне это делать? Чтобы дыры в нем чинить? Или может его лучше просто вырубить? Ах, да, если его вырубить, то система не запустится. А ещё он может читать и писать все что хочет и куда хочет в обход CPU.
>>188584135 САМ ЗАПУСТИЛ НА КОМПЕ НЕЗНАКОМЫЙ ЕГЗЕШНИК @ ВАШ ЖЁСТКИЙ ДИСК ЗАШИФРОВАН, ОТПРАВЬТЕ СМС С КОДОМ "ЯЛОХ" на номер 88005553555 @ "ВИРУСЫ ВИРУСЫ!!! МИНЯ ВЗЛОМАЛИ ХАКИРЫ!!!111ОДИНОДИН"
>>188584203 > А пока пользователи-энтузиасты могут пробовать запустить любые не включённые в список игры, используя соответствующие настройки в клиенте Steam Что сказать-то хотел? И там уже 60+ игр в официальной поддержке. Неофициально там тысячи их запускается.
>>188584208 ME состоит из апплетов, их там несколько десятков, но для работы компа нужны только три, емнип. Так вот, Intel запилил для АНБшных компьютеров флаг HAP, который отключает все модули, кроме необходимых для работы, чтобы соответствовать политикам безопасности АНБ. Если бы эти три модуля бы не были жестко протестированы на отсутствие хуйни, то никто не стал бы огород городить с отключением остальных.
>>188584229 Тот, кто может в такое, работает в FancyBear какой-нибудь в звании старшего лейтенанта ФСБ, а не репачки клепает на торрентах. Там ты только майнер подхватишь, или в ботнет войдешь на полшишки.
>>188584227 >Что сказать-то хотел? Что хуйню ты порешь. >уже 60+ Ну охуеть какой прогресс. Поди такое-то же говно мамонта как и в списке в статье? Шестые финалка и первые два дума у них работают, ну совсем охуеть. Может вы это, хотяб из нулевых начнёте игры портировать? А то с играми из девяностых это ну совсем смешно. Не говоря уж о том, что они и без габена прекрасно под вайном работают. >Кстати, игры, использующие сложные системы DRM или античита, возможно, никогда не смогут быть запущены таким способом. Только вот ёба там by design никогда работать не будет.
>>188584296 Недавно на дваче в новостях была новость, что какая-то компания закупала для себя комплектующие для ПК на Али. Спустя какое-то время выяснилось, что на них предустановлен чип, которые отправляет всю инфу дяди Ляо.
>>188584296 Там есть требования к стране производителю, но у Intel есть производство в штатах маленькое, там такие же процессоры и мамки делают, только в малом количестве. И ME у них такой же, как у обычных компов, он вообще стандартный. Они же обычный софт запускают, в основном, там офисная работа и всякая хуйня, и аудит провести гораздо дешевле, чем портировать и поддерживать весь софт.
>>188584302 Ну, это нихуя не интеллектуально же. Я бы допустил,что кто-то может пилить кряки для игор, это все же творческое занятие, но вирусы-то не в кряках, как правило, а в репаках, и их делают другие люди, просто из лицухи и готового кряка. Там вообще думать не надо, и бабла не очень много, нахуя это специалистам?
>>188584362 >И дум там новый, старый давно уже энтузиасты на миллион платформ портанули В том и суть. Какого хуя он в этой спискоте делает? Сколько реально будет игр поддерживаемых габеном, если выкинуть то что и без него под линуксом прекрасно работает?
>>188584351 >>188584331 Там совсем без пруфов было, и в качестве экспертов какие-то ноунеймы, и публикация в экономическом журнале. Скорее, это манипуляция рынком была.
>>188584383 Я говорю про альтернативу для АНБ в виде запиливания собственных процессоров и софта, не связанных с обычными интеловскими. Это дорого и нахуй никому не нужно, поэтому юзают обычные компоненты, и ME в том числе, только с флагом этим. А вместе с вырубанием ME можно было записать туда любую хуйню и получить персистентную инфекцию, так что это палка о двух концах.
>>188584429 Сходи по своей ссылке, протри зенки, и посмотри на список поддерживаемых игорей. И увидишь там первые два дума. А теперь вопрос: причём, тут, блядь, габен?
>>188584049 >Сижу на шинде с прямыми руками, бекапами, и без антивируса. Думаю, что вирусов нет, ну или по крайней мере, пока себя ещё не проявили, брат жив, игори работают. Завидуйте, прыщебляди. Двачую. Достаточно не качать говно от ВАСЯН777 и не ходить по сомнительным сайтам или ходить через виртуалку. Для полной уверенности стоит фаервол, который блокирует все соединения, кроме нескольких разрешенных программ, и датчики загрузки процессора/диска/wet pussy в трее.
>>188584758 >Как там leak tests? Хоть один проходит? Тестировал - проходит большинство тестов. Хотя, это мало о чем говорит. Сами тесты тестируют в основном не фаервол, а прочие уязвимости. Малварь, который пиздит данные, не будут писать с расчетом на 1% шизиков с белым листом.
Привет, двач. Я тут наткнулся на хабре на статью в которой написано, что вирусы могут находится в оперативной памяти. Это действительно так? Или вирус находится на HDD и после загрузки системы выгружается в ОЗУ? Спасёт ли в таком случае переустановка ОС?
https://habr.com/company/kingston_technology/blog/411163/