Pull to refresh
  • by relevance
  • by date
  • by rating

Вирусы переселяются на USB-флэшки

Information Security *
Антивирусные компании сообщают о новой тенденции в распространении вирусов. После волны почтовых и скриптовых вирусов теперь одним из самых популярных способов распространения вредоносных программ становятся USB-флэшки. Это стало возможным благодаря слабости операционной системы Windows, которая по умолчанию автоматически запускает файл autorun.inf со сменного накопителя.

Впервые вирусы, которые распространяются таким способом (через INF/Autorun), проявили себя в июне 2007 года, когда по статистике ESET Software (разработчик NOD32) их доля выросла до 2,17% от общего количества зарегистрированных вирусов. К настоящем моменту, то есть всего за девять месяцев, число таких вирусов выросло до 10,3%.

В число самых популярных вирусов марта 2008 года вошли генератор всплывающих окон Win32/Adware.Virtumonde (распространяется через USB-флэшки), который очень сложно удалить, а также Mebroot, использующий классическую технику записи в MBR и хранения данных в секторах жёсткого диска, а не в файлах, что усложняет его обнаружение, даже когда он модифицирует реестр Windows.
Читать дальше →
Total votes 41: ↑33 and ↓8 +25
Views 7.8K
Comments 105

Разбиение диска объемом больше 2 Тб

Lumber room
На сервере увеличили дисковый объем. Поставили 8 дисков по 750 Гб каждый, объединив их в пятый рейд. В итоге получили массив объемом около 4.5 Тб. Тут и столкнулся с ограничением MBR в 2 Тб. Не знаю как под Windows дела обстоят, возможно там все автоматизировано, но на нашем сервере стоит FreeBSD 6.2, и стандартный установщик sysinstall упорно не хотел разбивать диск на полный объем. На помощь пришел GUID partition table (GPT).

UPD: В Windows Server все действительно происходит автоматически. Единственно что GPT доступен начиная с версии Windows Server 2003 Service Pack 1.<p/>

подробности разбиения на примере FreeBSD
Total votes 12: ↑11 and ↓1 +10
Views 1.7K
Comments 11

Dual-boot Vista SP1 и Linux

Configuring Linux *
Ходят слухи по поводу того, что Vista SP1 не любит чужих загрузчиков (LiLo, grub) и отказывается из под них грузиться. Мой знакомый из-за этого даже отказался ставить себе Fedora Linux на ноутбук, где установлена Vista Home Premium SP1. Как написано на сайте майкрософт это BitLocker встроен только в ветки Ultimate и Enterprise, так что пользователям Home Basic, Premium и т.д. не за чем волноваться. А счастливым обладателям Ultimate/Enterprise — не расстраивайтесь, всё гораздо проще чем вы думаете.
Читать дальше →
Total votes 47: ↑35 and ↓12 +23
Views 1.7K
Comments 83

Восстановление MBR on Windows 7

Lumber room
Понадобилось мне восстановить MBR на Windows 7. Но вот незадача: на Windows XP решалось это путём загрузки в консоль восстановления и вбитии команды fixmbr. В 7-ке такой фокус не прокатил — fixmbr нету. Но где наша не пропадала. :)
Читать дальше →
Total votes 44: ↑20 and ↓24 -4
Views 3.7K
Comments 15

6 шагов загрузки Linux на пальцах

Configuring Linux *
Translation
imageНажмите кнопку включения питания на вашем системнике, и спустя несколько секунд вы увидите окно входа в систему.

Посмею предположить, что каждого интересовало хоть когда-либо то, что происходит за занавесом заставок и загрузочных экранов с момента включения питания компьютера к моменту, когда предлагается войти в систему.

Я предлагаю вам познакомиться со следующими уровнями типичной загрузки Linux:
Читать дальше →
Total votes 195: ↑177 and ↓18 +159
Views 169K
Comments 87

Анализ Smitnyl.A — первого гибрида буткита и файлового инфектора

Antivirus protection *
Всем привет!

Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.

Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.

Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.
Читать дальше →
Total votes 66: ↑63 and ↓3 +60
Views 987
Comments 39

Команда dd и все, что с ней связано

*nix *

В UNIX системах есть одна очень древняя команда, которая называется dd. Она предназначена для того, чтобы что-то куда-то копировать побайтово. На первый взгляд — ничего выдающегося, но если рассмотреть все возможности этого универсального инструмента, то можно выполнять довольно сложные операции без привлечения дополнительного ПО, например: выполнять резервную копию MBR, создавать дампы данных с различных накопителей, зеркалировать носители информации, восстанавливать из резервной копии данные на носители и многое другое, а, при совмещении возможностей dd и поддержке криптографических алгоритмов ядра Linux, можно даже создавать зашифрованные файлы, содержащие в себе целую файловую систему.
Опять же, в заметке я опишу самые часто используемые примеры использования команды, которые очень облегчают работу в UNIX системах.
Читать дальше →
Total votes 323: ↑315 and ↓8 +307
Views 499K
Comments 119

Восстановление убитых MBR и таблицы разделов

*nix *

0. Intro.


Ситуация следующая. Есть винт на 160Гб. На нем 2 раздела — 40Гб и 120Гб. С целью установки убунты как второй системы была произведена разбивка 120Гб -> 100+10+2+8.

Далее, с целью отката изменений, были объединены диски (10, 2 и 8) обратно в один 20Гб и отформатирован в NTFS. В нагрузку к этому, были проведены операции с MBR, результатом которой явилась ее смерть.

Итоги

1. При загрузке системы выводится сообщение MBR helper not found;
2. fdisk показывает один большой 160Гб диск.

Дураку понятно, что это начало веселой ночи.
Далее, под катом, решения вопроса.
Читать дальше →
Total votes 91: ↑78 and ↓13 +65
Views 403K
Comments 35

Криминалистическая экспертиза зараженных TDL4 компьютеров

ESET NOD32 corporate blog
Началось все с того, что в начале прошлого лета у нас появился ряд задач, связанных с быстрым извлечением скрытого контейнера файловой системы руткита Win32/Olmarik, тогда еще в версии TDL3. Немного поразмыслив, мы разработали первую версию утилиты TdlFsReader, которая справляется с TDL3 и TDL3+. Через какое-то время она была опубликована в свободном доступе и многим помогла в задачах криминалистических экспертиз. Однако в конце лета появилась четвертая версия данного руткита, которая имела уже принципиальные отличия в файловой системе: теперь это уже больше походило на полноценную файловую систему.

image
Читать дальше →
Total votes 28: ↑22 and ↓6 +16
Views 12K
Comments 7

MBR для флешки своими руками или как сделать из одного устройства три

Assembler *
Мое почтение читающему!
Топик мог бы получиться просто катастрофически огромным, поэтому перейдем сразу к делу. Впереди вас ждет рассказ, о том, как можно одну флешку сделать одновременно загрузочной как для ОС семейства Windows, так и *nix, а также сделать из нее live-usb. Заранее прошу прощения за жаргон, не сторонник, но так короче.

Аннотация


Как-то пришлось много раз подряд устанавливать на одну и ту же машину кучу разных операционных систем, как от товарищей господ из Майкрософт, так и любимых всеми нами *nix`ов. При этом инсталляторы вновь устанавливаемых ОСей периодически терли загрузчики ранее установленных, так что приходилось их восстанавливать вручную, загружаясь с live-usb. Но самое ужасное, что при всем при этом под рукой была всего одна флешка (и еще 15 компьютеров правда, но толку от них было мало, так как разбирать их по причинам гарантии в надежде на лишний жесткий диск было нельзя). Флешка к счастью была большого объема. Вот тут-то и возникла идея сделать из одной флешки две, а лучше три (хотя можно и 4) разных девайса.

Немного теории


Как сделать из одной флешки несколько с целью последующей установки на нее одновременно нескольких установщиков ОС и еще live-операционки? Ответ очевиден — сделать на флешке несколько разделов!
Читать дальше →
Total votes 193: ↑181 and ↓12 +169
Views 103K
Comments 78

Легальные буткиты

«Лаборатория Касперского» corporate blog
Умница Русаков, которого многие до сих пор ошибочно называют РусТОКов, написал очередную статью на www.securelist.ru. И опять — про руткит-технологии. Впрочем, в этой статье не упоминается ни TDL 4, ни какая-либо другая вредоносная программа. Потому что статья — про опасности использования неаккуратно реализованных руткит-технологий в легальных продуктах, о чем автор прямо сообщает во введении. Кстати, за введение ему отдельное спасибо, потому что без него неподготовленный читатель вообще бы ничего не понял — несмотря на то, что в тексте довольно много картинок.

Для начала автор с подозрительной прозорливостью придумывает несколько случаев той самой неаккуратной реализации, которая могла бы позволить злодеям использовать легальные драйверы, протекторы, крипторы и классические анти-руткиты в своих злодейских целях. Ему практически удается убедить читателя, что легальный подписанный драйвер представляет потенциальную угрозу безопасности, в том случае, если руткит-технологии реализованы в нем с тщательностью российского автопрома. Мало того, с подозрительной осведомленностью утверждая, что и по ту сторону баррикад не дураки имеются, автор запугивает читателей возможностью злодеев разобрать им же самим придуманную небрежную реализацию драйвера режима ядра по косточкам и полученные таким варварским способом знания опять же — использовать в злодейских целях.

image
«Однако нами была обнаружена аномалия — подмена MBR при чтении. Подмена реализуется фильтр-драйвером дискового стека» (Comodo Time Machine).
Читать дальше →
Total votes 25: ↑13 and ↓12 +1
Views 5.3K
Comments 14

NIST принимает стандарт для защиты BIOS

Group-IB corporate blog Information Security *
Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 10K
Comments 23

Тестирование СХД NetApp FAS при помощи генератора нагрузки IOMeter

High performance *
Во время тестирования СХД специалисты часто встречаются с проблемами в производительности в связи с нюансами настройки всего комплекса. Для нагрузочного тестирования СХД не достаточно только лишь запустить симулятор нагрузки, необходимо настроить систему хранения, сеть и хост. Основная масса настроек, как правило, выполняется именно на хосте.

Целью данной статьи помощь системным администраторам и системным интеграторам в понимании настроек и нюансов при тестировании СХД NetApp. Хочу также отметить, что в этой статье не было задачи в получении максимально возможной производительности контроллеров NetApp FAS 2240, так как на момент тестирования демо оборудования не было достаточного количества дисков (144 максимум) для СХД, а также в наличии был только один сервер. Т.е. максимальная производительность здесь рассматривается в контексте конкретной конфигурации демо стенда, другими словами при большем количестве дисков, серверов и подключений по сети возможно получить результаты ещё лучше с теми же контроллерами 2240. Хотя все графики с результатами производительности взяты с реальных конфигураций конечных заказчиков, использующих в тестах контроллеры 2240, в некоторых тестах использовались четыре SSD 100GB MLC диска.

Ниже приведено комплексное описание нагрузочного тестирования СХД: настройки симулятора нагрузки IOMeter, методика настройка хоста и СХД NetApp FAS, снятие статистики нагрузки, а также интерпретация полученных результатов. На примере существующего демо стенда будет рассмотрены методы настройки всех его компонент, а также других возможных вариантов конфигураций с использованием NetApp FAS.

image
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 24K
Comments 6

Acronis Disk Director: разбиваем диски без проблем

Acronis corporate blog
Наверняка, вам знакома ситуация, когда нужно переразбить разделы на диске, а делать это очень не хочется. Многие боятся связываться с подобными операциями посреди рабочей недели и откладывают её на выходные, подсознательно зная, что в 15 минут тут не уложишься. Нет нужды перечислять все сопутствующие риски, которые приходится страховать в подобном случае.

Между тем есть отличная программа, которая позволяет быстро изменять диск или системный раздел без траты времени на резервное копирование и восстановление данных. Речь об Acronis Disk Director – программе, которая даёт вам полный контроль, необходимый для эффективного использования дисков, позволяет их объединять, разделять, масштабировать, копировать, перемещать отдельные разделы и многое другое.


Под катом мы рассмотрим наиболее популярные фичи продукта и его интересные особенности.
Читать дальше →
Total votes 47: ↑30 and ↓17 +13
Views 191K
Comments 63

Acronis Snap Deploy 5: Массовый деплоймент быстро просто и надёжно

Acronis corporate blog
В нынешних реалиях много дорогих вещей, таких как квартира, информация, хобби, и так далее. Но всё же самым дорогим является время. Время утекает быстро, а так хочется всё успеть сделать. Практически ежедневно системные администраторы на разворачивание операционных систем для любых нужд в любых количествах, затрачивают колоссальные ресурсы человеко-часов.

Предлагаем к использованию программу, позволяющую не только разворачивать одновременно десятки машин в сети, но и применять персональные параметры к каждой разворачиваемой машине. Простой инструмент Acronis Snap Deploy умеет оперировать десятками и сотнями машин в одной сети, давая все опции по развёртыванию как Windows, так и Linux операционных систем.


Читать дальше →
Total votes 32: ↑24 and ↓8 +16
Views 37K
Comments 14

Миграция Windows между BIOS <-> UEFI

System administration *UEFI *
Tutorial
Появляется такая задача не часто, но все-же, нужно преобразовать уже установленную систему, загружаемую в BIOS (или UEFI режиме) в UEFI режим (в BIOS соответственно).
Кому интересно, читаем далее:
Читать дальше →
Total votes 23: ↑20 and ↓3 +17
Views 74K
Comments 40

Ручная установка Windows 7/8/8.1/10 в систему с загрузчиком GRUB2

System administration *
Наверняка почти у каждого пользователя ОС Linux и ОС Windows, а я имею в виду именно тех, у кого, в силу ряда причин, установлены обе системы, время от времени возникал вопрос: «А нельзя ли, черт возьми, придумать способ, с помощью которого можно было бы устанавливать эти системы в произвольном порядке? Без порчи настроек загрузчика?» Ведь если ставим сначала Windows а потом Linux всё хорошо — линуксовый загрузчик (например GRUB) обычно подхватывает bootmgr. Если ставить в обратном порядке то увы. Даже с использованием GPT + EFI. В случае с EFI нет опасности перезаписи MBR, зато таки есть один нюанс, который лично мне не нравится — установщик Windows в режиме EFI хоть и не перезаписывает сектора диска своим кодом, но зато переопределяет NVRAM, подсовывая туда путь к своему загрузчику. Так что функционал GBUB всё равно приходится восстанавливать. В настройках штатного установщика нет опций для кастомизации процесса установки загрузчика. А что если… не использовать стандартный установщик?! Ну, или почти не использовать…



И такой способ есть. И основан он на технологии установки Windows, которую мы имеем в её дистрибутивах начиная с «семерки». Способ работает для случая Windows версий 7/8/8.1/10, как в случае с MBR + BIOS системы, так в случае с EFI + GPT. Установить систему можно как в раздел HDD, так и на VHD. При этом функционал установщика нужен нам в общем-то для запуска программы настройки BCD-хранилища конфигурации загрузчика. Вместо установочного диска можно использовать загрузочный носитель на основе WinPE. Если бы утилитам bcdedit.exe и BootICE была *nix альтернатива, весь процесс развертывания системы можно было бы вообще выполнить в среде Linux.

Читать дальше →
Total votes 31: ↑29 and ↓2 +27
Views 110K
Comments 45

Восстановление данных из поврежденного массива RAID 50

Data recovery *
Sandbox
Многим компаниям требуются сервера с высокопроизводительной дисковой подсистемой большой емкости, которая достигается за счет использования большого количества высокопроизводительных дисков. Имеем случай, когда компания использовала решение из 10 HDD с интерфейсом SAS емкостью 600 GB, организованных в массив RAID 50 (полезная емкость массива 600*8=4800 GB). Данный RAID 50 представляет из себя комбинированный массив, который рассматриваем как два массива RAID 5, объединенных в массив RAID 0. Данное решение позволяет получить более высокую скорость записи на массив в сравнении с обычным RAID 5 с таким же количеством дисков-участников, потому что для формирования блока четности требуется меньшее число операций чтения с дисков участников (скоростью расчета самого блока четности можно пренебречь в силу того, что он представляет весьма малую нагрузку для современных RAID контроллеров). Также в RAID 50 в некоторых случаях отказоустойчивость будет выше, так как допустима потеря до двух дисков (при условии, что диски из разных массивов RAID 5, входящих в данный RAID). В рассматриваемом нами случае со слов системного администратора произошел отказ 2 дисков, которые привели к остановке RAID массива. Затем последовали действия системного администратора и сервисного отдела компании продавца сервера, которые не могут быть описаны в силу сбивчивых и противоречащих друг другу показаний.
Читать дальше →
Total votes 37: ↑36 and ↓1 +35
Views 16K
Comments 47

Сравнение структур разделов GPT и MBR

System administration *Data storage *UEFI *
Translation
Вы когда-нибудь задумывались о том, как загружается компьютер? Независимо от аппаратуры и операционной системы, все компьютеры при загрузке используют или традиционный метод BIOS-MBR, или более современный UEFI-GPT, реализованный в последних версиях ОС.

В этой статье мы сравним структуры разделов GPT и MBR; GPT означает GUID Partition Table, а MBR — Master Boot Record. Начнём с того, что разберём сам процесс загрузки.

В следующих главах выделяются различия между стилями разделов GPT и MBR, в том числе приводятся инструкции, как осуществить преобразование между двумя стилями, и советы, какой из них выбрать.
Читать дальше →
Total votes 26: ↑23 and ↓3 +20
Views 482K
Comments 38

Мобильные устройства изнутри. Разметка памяти, структура файлов описания и разметки памяти

Development of mobile applications *Reverse engineering *

1. Введение


Как оказалось, разметка физической памяти мобильных устройств (МУ) это малоописанный раздел знаний, необходимых разработчику. Т.к. память существует во всех устройствах, созданных на основе микропроцессоров или микроконтроллеров, а их уже миллиарды, то это еще и очень-очень востребованный раздел знаний.

Эта статья посвящена аспектам разметки памяти только МУ, т.к. именно здесь существует тесно свитый разными производителями клубок из файлов описания разметки при почти полном отсутствии теоретических данных о структуре самих этих файлов.

Разметка физической памяти МУ формируется на основании таблиц или списков описаний параметров разделов памяти. Практически каждая фирма-производитель МУ имеет свою форму (структуру) этих таблиц. Тем не менее, все описания параметров разделов имеют много общего, что позволяет рассматривать их в едином контексте.

На основе таблиц описаний затем формируются файлы разметки памяти, которые в виде образов разделов прошиваются непосредственно в память МУ.
Читать дальше →
Total votes 28: ↑25 and ↓3 +22
Views 31K
Comments 7
1