Herezje z internetów

Data: 2018-09-14, autor: Michał Misztal

To nie tak, że się lubię czepiać. Nie lubię, naprawdę. Wolę czas wykorzystać w inny sposób. Ale jeśli trafiam na stronę informatyka który prowadzi bloga i opisuje pewne rzeczy w formacie tutoriali i wszystko działa to zaczynam się zaczytywać.

Znalazłem stronę informatyka z Łodzi przypadkiem i zacząłem czytać. Nie było tam tych wpisów dużo ale każdy był wyjątkowy. Wiem, że czasem można trafić na posuchę i wtedy nawet miesiącami nic ciekawego do opisania się nie trafi. Czasem w takich momentach szuka się tematu na siłę. A czasem wrzuca banały w stylu "dzisiaj założyłem majtki".

Opiszę kilka rzeczy który rzuciły mi się na oczy. Banały albo drobiazgi odpuszczę. Skupię się raczej na oczywistych herezjach tudzież tematach z d... "pupy".

Jak usunąć wirusy z komputera

Cóż - wymontować i przeskanować dysk można. Ale co w przypadku wirusów polimorficznych czy bezplikowych. Czy taki sposób również podmontuje sobie profile użytkowników, przeskanuje rejestr czy ustawienia profilów użytkowników. A co z infekcjami zero-day? A co ze skutecznością programu AV. Program AV oparty o bazy sygnatur to przeszłość a tylko o takim sposobie skanowania możemy mówić w przypadku martwego systemu. Dziś najważniejsze funkcje jakie posiadają programy AV to skanowanie zachowania aplikacji czy skanowanie podatności systemowych aplikacji. Infekcje bezplikowe, złośliwe makra czy man-in-the-middle aka fake DNS i wiele innych to przyszłość. Skanowanie odpiętego dysku można sobie między bajki włożyć.

Monit o zabezpieczeniach

Głupszego tekstu jeszcze nie czytałem. Na razie zlinkuję artykuł którego informatyk nie widział. Otóż każdy plik pobrany z internetu dostaje prezent w postaci dodatkowej zawartości - strumienia NTFS. Strumienie NTFS służą przechowaniu dodatkowych informacji. Normalnie eksplorator windows strumieni nie widzi. Ale z poziomu wiersza poleceń można się do nich dostać, można je skasować oraz utworzyć nowe. Samemu można utworzyć takie ukryte archiwum. I tak, jeśli komunikat o pliku pobranym z internetu Was męczy to nie wyrzynacie w pień całego systemu zabezpieczeń tylko PPM na pliku -> Właściwości i na dole klikacie Odblokuj wtedy info ZoneIdentifier znika. ADS w postaci ZoneIdentifier nie dotyczy samej aplikacji ale może także zadziałać przy ładowaniu bibliotek. Pomyślcie - trafiła się infekcja która podmieniła bibliotekę pewnej malo ważnej aplikacji. Nie zauważylibyśie tego gdyby nie automatycznie dodawany znacznik. A co jeśli fałszywa biblioteka otwiera backdoora? Taki komunikat to jedyna informacja, że coś się dzieje. A do takich komunikatów należy podchodzić z należytą powagą.

Partycjonujemy

Program partycjonujący Windows to istna dzicz. A tutaj jeszcze mamy działanie na żywym systemie (coś jak tutaj). No i zero informacji, że maltretowany jest system GPT. Bo przy obecnym układzie partycji dla MBR widzielibyśmy tylko siekę.

Handel organami

Wklejcie sobie mój plik NTDLL do systemu. I co jeszcze - ntoskrnl.exe? To jedna z najważniejszych bibliotek istniejących w systemie - odpowiada za ładowanie bibliotek dynamicznych (coś jak svchost dla usług). I nie można pobierać tego typu rzeczy z internetu. Jedynie z oryginalnego nośnika. W najlepszym przypadku taki przeszczep wykryje i wytnie funkcja ochrony plików systemowych a w najgorszym taka niespodzianka będzie działać w systemie. Poza tym skąd wiadomo, że app crash ntdll to wina ntdll? A może app crash wywołuje aplikacja która ładuje bibliotekę z podatnością przepełnienia bufora i zwiecha całości to system obronny. Podobne fajerwerki powodują trainery do gier - próbują przecież czytać i/lub modyfikować pamięć innych procesów.

Zamieniamy hasło via putty

OK. Ja rozumiem hasła można zapomnieć wtedy ledwo udokumentowane ścieżki dostępu służą pomocą. Wczoraj miałem akurat małe zaćmienie i nie potrafiłem przypomnieć sobie hasła do udziału na Mybooku WD. Na szczęście wcześniej otworzyłem sobie ścieżkę przez SSH, logowanie na roota i passwd user i wszystko OK. A tutaj to nie wiem oco kaman.

Jak zniszczyć dysk twardy

Powiedzmy, że tutaj się nie przyczepię. Im mniejsze kawałki tym lepiej. Ale info, że 1 cm kwadratowy może zawierać gigabajty danych możliwych do odzyskania to nadużycie. Zamieńcie jeden bit w dowolnej aplikacji i zobaczcie czy działa. Nawet takie zaburzenie struktury prowadzi do nieproporcjonalnie wielkich zniszczeń. Centymetrowe kawałki dysku zawierają jedynie szum. Trzeba mieć absolutne szczęście by znaleźć taki fragment który pozwoli na odzyskanie danych.

Nie wiem czy autor przegląda logi serwera i tutaj trafi ale mam nadzieję, że odpowiedzią nie będzie "ło, ku..., j*b się cw...", jak to było z autorem kącika komputerowego z "Elektroniki dla wszystkich". Do tamtego zresztą napisałem maila i czytając odpowiedź determinującą zakuty łeb zrezygnowałem z prenumeraty. Ahoj i do przodu.

Komentarze (2)

[2018-09-22 23:59:28] Korsarz pisze: OSy i inne bugi...
Ciekawe co z tego można skonstruować: https://sekurak.pl/jak-zbudowac-wlasny-system-operacyjny-darmowa-ksiazka/.
[2018-09-23 19:54:05] csk(admin) pisze: Re: OSy i inne bugi...
Jeśli dobrze pamiętam to Gynvael Coldwind kiedyś miał odcinek na youtubie o napisaniu własnego systemu operacyjnego i chyba nawet to zrobił na poczekaniu. Oczywiście sam kernel + bootloader. Ale, hej, zrobił to.

Skomentuj lub zgłoś błąd

© Michał Misztal 2018

Czytasz właśnie

Herezje z internetów
Autor: Michał Misztal
Data: 2018-09-14