Jek1975
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Понимаю, что не совсем по теме, но считаю что важно. Последние пару дней в СМИ начали писать какую-то туфту о том что Касперский нашёл вирусы в HDD, т.е. где-то внутри, а не в полозовательских данных. Я немного поискал нашёл документ Equation_group_questions_and_answers.pdf откуда он взялся изначально непонятно, но ссылка на него есть здесь: https://xakep.ru/2015/02/17/equation/
Короче, там на 18й странице PDFa пишут:
Цитата: The main function to reflash the HDD firmware receives an external payload, which
can be compressed by LZMA. The disk is targeted by a specific serial number and
reprogrammed by a series of ATA commands. For example, in the case of Seagate
drives, we see a chain of commands: “FLUSH CACHE” (E7) > “DOWNLOAD
MICROCODE” (92) > “IDENTIFY DEVICE” (EC) > WRITE “LOG EXT” (3F). Depending
on the reflashing request, there might be some unclear data manipulations written
to the drive using “WRITE LOG EXT” (3F). For WD drives, there is a sub-routine
searching for ARM NOP opcodes in read data, and then used further in following
writes. Overall, the plugin uses a lot of undocumented, vendor-specific ATA
commands, for the drives mentioned above as well as all the others. |
От себя добавлю. Судя по другим статьям это работает так: злоумышленники (Equation group) устанавливают на многие компы обычные бот-нет клиенты, а потом по результатам, избранным жертвам доустанавливают всякую экзотику типа вот такого ПО.
Меня же интересует, а вообще как-то можно в домашних условиях оценить целостность ПО нормальных, живых дисков, а не "кроликов" обсуждаемых здесь?
Может стоит сливать со всех новых дисков через терминал или ещё как-то все доступные ресурсы и периодически сравнивать критические области с первой копией?
Так сложилось, что я тут слежу только за Самсунговской темой, поэтому о принципах устройства ПО других дисков мало знаю. Поэтому для самсунгов наверное будет достаточно следить только за той частью ПО, которое заливается через команду терминала DN? |
Всего записей: 116 | Зарегистр. 07-04-2009 | Отправлено: 19:30 05-03-2015 | Исправлено: Jek1975, 19:31 05-03-2015 |
|
