narzedzie mbr.exe ?

[Gość: ciekawski]

uzylem tego narzedzia zeby sprawdzic czy nie mam rootkita w sektorze
MBR i wyprodukowalo ono loga po zaledwie dwoch sekundach...

to normalne?
log wyszedl prawidlowy, wszystko OK

Stealth MBR rootkit detector 0.2.4 by Gmer, www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Gość: @]

Na czym polega Twój problem?
Czas tworzenia jak również sam log jest OK.

[Gość: Kolobos]

Problem autora to paranoja zwiazana z rootkit'ami.

[3promile]

Niektórzy myją ręce kilkadziesiąt razy dziennie. I to nie są chirurdzy.

[Gość: ciekawski]

jesli ktos ma wazne dane na komputerze to bezpieczestwo powinno byc
priorytetem

niektorzy sugeruja robic format i ponowna instalacje przy wykryciu
kazdego trojana, bo nawet jesli trojan zostal usuniety (w kilka
tygodni/miesiecy po zainfekowaniu) to nie ma pewnosci czy nie
zainstalowal ze soba czegos wiecej, np. rootkita ktorego standardowe
narzedzia nie wykrywaja.... a rootkita w MBR podobno nawet format
nie zawsze usuwa


ja nie jestem informatykiem, sugeruje sie tym co wyczytam..

[3promile]

Jezeli ktos ma ważne dane na komputerze, to ma fajny backup w szwajcarskim
sejfie, profesjonalne progsy i ochroniarza z Mosadu. Albo ma kuku.

[Gość: Romek]

Gość portalu: ciekawski napisał(a):
> jesli ktos ma wazne dane na komputerze to bezpieczestwo powinno byc
> priorytetem

Masz rację, tylko czy nie lepiej zainwestować 4dychy w takie coś?
www.allegro.pl/item549277139_najlepsze_zabezpieczenie_pc_recovery_card_v12_1_pl.html
lub jeśli tak się boisz, używaj systemów live lub portable zamiast instalacji,
albo przerzuć się na Linux. Ja często używam np Mandriva LiveCD, a Linuksa mam
zainstalowanego razem z XP, wiem że byłoby lepiej gdyby był sam Linux, ale nie
jestem jedynym użyszkodnikiem kompa.

>.... a rootkita w MBR podobno nawet format
> nie zawsze usuwa

Aaaa... ja miałem dawno temu wirusa który zalokował się w RAM... menda nawet
format wytrzymywała, fdisk/mbr, usuwanie wszystkich partycji i zakładanie ich na
nowo z pełnym formatem. Pomogło dopiero (ja wtedy za cienki byłem żeby z nim
walczyć, fachowiec 3 godziny go usuwał zanim do tego doszedł, jak sobie swój
prywatny dysk zainfekował gdy chciał swój system odpalić na moim kompie, ale
jego miny nie zapomnę) fizyczne odłączenie komputera od zasilania i wyjęcie
pamięci ze slotu.

[Gość: równierż ciekawski]

niech ktoś napisze jak działa taki rooktit w mbr co on robi i jakie stwarza
zagrożenie?

[lemari]

pl.wikipedia.org/wiki/Rootkit

słuchaj leszczyku zadałem precyzyjne pytanie

[Gość: ciekawski]

jeśli nie znasz na nie odpowiedzi, lub nie zrozumiałeś pytania to nie wysilaj
się na udzielanie odpowiedzi bezsensownych i nie na temat. W linku który
wstawiłeś nawet nie pojawia się słowo mbr

[lemari]

> się na udzielanie odpowiedzi bezsensownych i nie na temat. W linku który
> wstawiłeś nawet nie pojawia się słowo mbr

a wystarczy kliknąć w "linki zewnętrzne" i...

[Gość: ciekawski]

> a wystarczy kliknąć w "linki zewnętrzne" i...

"linki zewnętrzne" nie są hiperłączem więc sam sobie w nie klikaj pajacu.

[smutas]

Co sie chlopie zoladkujesz? Gosciu podpowiedzial ci gdzie szukac, po co
powtarzac cos co zostalo juz przystepnie napisane i w dodadku jest dostepne dla
kazdego. IQ na poziemie 75% wystarczy by tym sladem zawedrowac na inna strone
Wikipedi z opisem MBR. Razem te dwa artykuly daja jasny obraz co robi rootkit w
MBR. Otoz caly rootkit nie miesci sie w MBR, bo to tylko 512byte'ow, czyli to
tylko maly pointer do wlasciwego programu. Najczesciej to taka mala wirtualna
maszyna, ktora pozwala ladowac OS jako system-gosc. W ten sposob ma pelna
kontrole nad wszystkimi odwolaniami OSa do sprzetu ( IO/klawiatura/porty
USB/ethernet itp.). I to tyle, polecam rowniez poczytac wspomniane artykuly w
jez. angelskim. Sa duzo obszerniejsze i zawierajac wiecej info.

cheers

O kolejny jełop fantasta który próbuje wmawiać że

[Gość: ciekawski]

rootkit mbr to mała maszyna wirtualna, kurcze to taki rookit jest lepszy od
vmware xena i całej reszty. 42 jak nic. Normalnie czad. Męczą się ci ludzie od
maszyn wirtualnych, piszą te programy, ba nawet wymagają od producentów sprzętu
wsparcia bo bez tego nie dają rady, a tu sie okazuje ze jedyne co im jest
potrzebne to zarazić system takim cud rootkitem i maja pełna virtualizacje.
Otwartym pytaniem pozostaje dlaczego w przytoczonej wyżej definicji rootkita nie
ma nawet wzmianki o wirtualizacji i dlaczego rootkit w jej brzmieniu jest czymś
innym niż ty opisujesz

Jelop sie szanownemu ksieciu klania :-)

[Gość: smutas]

Coz ci czlowieku mozna powiedziec? Zadajesz pytania na forum z prostej przyczyny
- bo nie znasz na nie odpowiedzi. A jak ktos probuje ci cos podpowiedziec to go
obrazasz. Iscie swietny sposob by zyskac przyjaciol i sie czegos nauczyc. Czy w
szkole tez wyzywasz swoich belfrow od jelopow czy moze masz jakies bardziej
wyrafinowane okreslenia? Sku..syn na przyklad?

OK. jestem jelopem ale ty za to jestes bucem, ktory nie potrawi nawet zrozumiec
co sie do niego mowi, nie wspominajac zupelny brak znajomosci jakby nie bylo,
podstawowego jezyka informatyki, czyli jezyka angielskiego. Mowilem ci, ze
artykul po angielsku jes obszerniejszy i tam wlasnie sa wymienione typy
rootkitow. Jednym z nich jest taki, ktory dziala w:
Hypervisor level

These rootkits work by modifying the boot sequence of the machine to load
themselves as a hypervisor under the original operating system. By exploiting
hardware features such as Intel VT or AMD-V, the rootkit is able to load the
original operating system as a virtual machine, thereby enabling it to intercept
all hardware calls made by the original operating system, which is now a guest.
The "SubVirt" laboratory rootkit, developed jointly by Microsoft and University
of Michigan researchers, is an academic example of a virtual machine based
rootkit (VMBR),[10] while Blue Pill is another.

A teraz kochane ksiazatko, skopiuj sobie ten tekst i wklej go z prosba o
przetlumaczenie na formum GW: Forum/Edukacja/English Only.

Pozdrawiam Mgr. Jelop :-)

[Gość: ciekawski]

>These rootkits work by modifying the boot sequence of the machine >to load
themselves as a hypervisor under the original operating >system. By exploiting
hardware features such as Intel VT or AMD-V,..

a gdzie źródło?

ciekawe jestem czy ty jesteś w stanie zrozumieć co sam piszesz
" Co sie chlopie zoladkujesz? Gosciu podpowiedzial ci gdzie szukac, po co
powtarzac cos co zostalo juz przystepnie napisane i w dodadku jest dostepne dla
kazdego. IQ na poziemie 75% wystarczy by tym sladem zawedrowac na inna strone
Wikipedi z opisem MBR. "

no to jełopie ruszaj jako punkt wyjścia masz
pl.wikipedia.org/wiki/Magister i wykaż sie tym, porażajacym IQ i podążaj
tak by trafić na

>These rootkits work by modifying the boot sequence of the machine >to load
themselves as a hypervisor under the original operating >system. By exploiting
hardware features such as Intel VT or AMD-V,..

a gdzie źródło?

". I to tyle, polecam rowniez poczytac wspomniane artykuly w
jez. angelskim. Sa duzo obszerniejsze i zawierajac wiecej info."

nie pie...przecież żadnych artykułów nie wspominałeś


> Coz ci czlowieku mozna powiedziec? Zadajesz pytania na forum z prostej przyczyn
> y
> - bo nie znasz na nie odpowiedzi. A jak ktos probuje ci cos podpowiedziec to go
> obrazasz. Iscie swietny sposob by zyskac przyjaciol i sie czegos nauczyc.

Jak zadaje pytanie to oczekuje że ktoś udzieli odpowiedzi, a nie że ktoś będzie
próbował udzielić odpowiedzi.
No z takich próbnych odpowiedzi to nauczyć się można tylko tyle by nie wierzyć
jełopom którzy chcą ale nie umieją, wiec próbują.

A z tymi przyjaciółmi to już dojebałeś na maxa. Pisałem czego oczekuje zadajac
pytanie. Ja nie oczekuje że z okazji zadania pytania ktoś stanie się moim
fuckfriendem


> Pozdrawiam Mgr. Jelop :-)

również pozdrawiam, szczególnie "."

Jestes zabawny :-)

[Gość: smutas]

Panie Ciekawski, Zaczelo sie od linku do Wikipedii w jezyku polskim, ja
podpowiedzialem ci ta sama Wikipedie ale po angielsku. We wspomnianym przez
innego forumowicza artykule jest po lewej stronie lista jezykow, i tak sie
pieknie sklada, ze angielski jest jednym z tych na gorze. Bardzo latwo tam
trafic. Jesli jednak twoja przegladarka nie wspiera linkow wiec podaje zrodlo, o
ktore tak pieknie prosisz: en.wikipedia.org/wiki/Rootkit
O MBR mozesz poczytac na: en.wikipedia.org/wiki/Mbr
A propos Mgr. i znajomosci tego co pisze i czytam. Mieszkam w Kanadzie, kraju
angielskojezycznym, od ... ponad 10 lat - dokladne dane nie sa ci potrzebne :-)
A szkole skonczylem taka: www.utoronto.ca/ Jesli masz jakies watpliwosci
co do jakosci nauczania w UofT to podpowim ci, ze jest lepiej niz w twojej
Koziej Wolce. Moge wiec pisac Mgr albo M.Sc

Wikipedia byla wspominana na tyle czesto w tej dyskusji, ze uznalem za nietakt i
obraze konwersarza podawanie linkow do kolejnych artykulow w tym samym zrodle.
Czyzbym jednak cie przecenil?

No coz, zadajesz pytania na publicznym forum. A to ma swoje dobre jak i zle
strony. Dobre, ze wkoncu znajdziesz odpowiedz. Zle - to fakt, ze ci, ktorzy sa
sklonni pomoc i dysponuja odpowiednia wiedza robia to za darmo. W zwiazku z tym
oczekuja rowniez niewielkiego wysilku od zadajacego pytania. Zreszta twoje
pytanie jest o tyle ciekawe, ze bez PODSTAWOWEJ znajomosci systemow
informatycznych, organizacji danych na twardych dyskach, dzialaniem IO, podstaw
programowania

Maly test.

[Gość: smutas]

Zrobilem dla ciebie, mosci Ciekawski maly test. Otoz wkleilem pierwsze zdanie
cytowanego artykulu w google i na pierwszej pozycji znajduje sie link do tegoz w
Wikipedii. Sproboj sam :-)
www.google.ca/search?q=These+rootkits+work+by+modifying+the+boot+sequence+of+the+machine&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a
Do tego zaraz po tym jest nastepny link do rownie ciekawego i obszernego
artykulu - polecam :-)

[Gość: petroll]

Ciekawski, zadajesz pytanie, dostajesz wystarczajaco dobre jak na poziom twojej
wiedzy odpowiedzi, obrazasz tych ktorzy ci odpowiadaja, a najgorsze ze nie masz
racji.


The installer of the rootkit writes the content of malicious kernel driver (244
736 bytes) to the last sectors of the disk (offset: 2 142 830 592) and then
modifies sectors 0 (MBR), 60, 61 and 62.

The content of hidden sectors:
0 - MBR rootkit loader
61 - kernel part of loader
62 - copy of original MBR

Polecam wszystkim

[Gość: xXx]

Postarajcie się doczytać do końca (szczególnie drugi akapit) i wyciągnijcie
wnioski: www.idg.pl/artykuly/60482/Sikanie.na.deske.czyli.SDK.html

PS: nie odnoszę tego do nikogo, polecam wszystkim do przemyślenia

rootkit w BIOS'ie?

[Gość: ciekawski]

ten ciekawski powyzej to nie ja :)

ja poczytalem samodzielnie jeszcze troche i zainteresowaly mnie rootkity w BIOS'ie... czy sa one juz obecne ? (poza modelami teoretycznymi)

rozumiem, ze w ich przypadku, nawet format, a nawet zmiana calego twardego dysku nie pomoze... i nie wiem wowczas w jaki sposob sie je wykrywa

znalazlem artykuly "rootkits heading for bios" albo "rootkit na karcie graficznej" sprzed okolo 3 lat, ciekawi mnie czy od tego momentu nastapil jakis postep, tudziez wzroslo zagrozenie z nimi zwiazane?

pozdrawiam