查看積分策略說明發表回覆
Discuz! 代碼
提示插入
直接插入
說明訊息

插入粗體文本 插入斜體文本 插入下劃線 置中對齊 插入超級連結 插入信件位址 插入圖像 插入 flash 插入代碼 插入引言 插入列表
刪除線 直線分隔線 虛線分隔線
    
添加文字底框
內容 [字數檢查]:

表情符號

更多 Smilies
字型大小 |||
溫馨提示:本區開放遊客瀏覽。


文章關鍵字 : [功能說明]
(關鍵字可加強搜索準確性, 如關鍵字多於一組, 請以 , 作分隔, e.g. : 阿笨,shiuh,第一笨)

 關閉 URL 識別 | html 禁用
 關閉 表情符號 | 表情符號 可用
 關閉 Discuz! 代碼 | Discuz! 代碼 可用
使用個人簽名
接收新回覆信件通知
推薦放檔網絡空間

檔案(Torent, zip等)
  1. freedl
  2. multiupload
  3. btghost
  4. 便當狗
  5. mediafire
  6. pillowangel
圖片(JPG, GIF等)
  1. hotimg
  2. tinypic
  3. mousems2
  4. imageshack
  5. imm.io
>>>歡迎推薦好用空間


最新10篇文章回顧
jjuui

 發表於 2009-3-20 10:08 PM

SMM就小弟我所知,就是SYSTEM MANAGEMENT MODE啦
而CPU要進切到這種模式工作可說是無時無刻都在進行的
通常進OS之後,CPU會經由一種特別的中斷服務 SMI進入這種模式
許許多多的的應用程式,以及一些USB裝置的驅動,都是透過SMI或是SCI來達成的
而進入SMM也不是你高興就行的,基本上進去這個模式太久
WINDWOS可是會送你藍色死機畫面給你看的,OS是有設定一個TIME OUT時間的
不過進SMM基本上OS是沒啥知覺的 Orz
這點到是有可能被拿來利用的


leacks

 發表於 2009-3-20 09:15 PM

難以更新

而且bios也有bios型的病毒
防止來源還是唯一的解決方法
等到毒發理論上應該是重灌就能解決

難不成cpu斷電後資料還在??


yorkhung

 發表於 2009-3-19 11:57 PM

既然都已經知道許久了,大概問題在還沒出來前就會先更新吧。


lightwing

 發表於 2009-3-19 10:02 PM


引用:
Kicks寫到:
進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能

SMM Rootkit嚴格來說AMD和Intel都有啦
不過AMD的目前早就在BIOS來修正了
之前Intel的也是在BIOS修正...

現在爆出來的是Intel的cache bug去攻擊的
目前防毒軟體沒辦法針對這邊去做修正...
(病毒資料庫之類的目前看起來沒辦法)
只能依賴OS修正或是BIOS修正...


Kicks

 發表於 2009-3-19 08:09 PM

進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能


lightwing

 發表於 2009-3-19 07:32 PM


引用:
Kicks寫到:
看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

怕的就是更改完系統擋你也不知道.....
更改完就不用怕你重開機...

目前的防毒軟體會去偵測封包、RAM、系統更改....等
但是SMM來改,防毒軟體沒辦法檔

目前是希望Intel能想辦法從BIOS或是patch更改,去改掉CPU Cache override的問題...

[lightwing 在  2009-3-19 07:38 PM 作了最後編輯]


Kicks

 發表於 2009-3-19 06:56 PM

看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

AMD以前有過利用MS的Updata散佈AMD CPU的XP更新檔.....不曉得是不是類似的案例


badcat

 發表於 2009-3-19 06:15 PM

看來 Intel 這次是做球給對手 AMD 殺。(狂笑~)


lightwing

 發表於 2009-3-19 03:02 PM

資料來源
http://news.mydrivers.com/1/130/130393.htm

波蘭知名女性安全專家Joanna Rutkowska日前在博客上表示,她將於當地時間今天發表一篇論文,討論利用Intel CPU緩存機制的漏洞,神不知鬼不覺的侵入PC系統。
而另一位安全研究人員Loic Duflot則會同時在加拿大溫哥華舉行的CanSecWest安全會議上發表演講,介紹該漏洞和攻擊代碼。

據稱,該漏洞廣泛存在於當前的Intel CPU當中,攻擊的目標是CPU的SMM系統管理模式空間。 Intel自從386SL處理器開始,就引入了SMM系統管理模式。
它擁有獨立於操作系統的自由空間,通常主要用於固件更新或硬件Debug。但正是因為這個原因,如果攻擊代碼在SMM空間中運行,任何安全軟件都對它無能為力,因為普通PC的操作系統甚至都無法讀取SMM空間內的內容。

上月的BlackHat安全會議上,Joanna Rutkowska和許多其他安全研究人員探討了這一問題,此後受到啟發,在幾個小時內就編寫出了針對Intel CPU緩存漏洞的SMM Rootkit攻擊代碼。
後來她了解到,Loic Duflot實際上在去年10月就已經將該漏洞報告給了Intel官方,而早在2005年,Intel的開發人員就曾經在論文中提到了這一安全隱患。
在她今晚公佈的論文以及Loic Duflot的演講中,他們就將分別演示這種“最駭人、最隱秘、最危險”的攻擊代碼。

國外之前的報導
http://wwww.networkworld.com/new ... -find-a.html?page=1

===
目前SMM Rootkit攻擊看起來是無解的....





所在時區為 GMT+8, 現在時間是 2024-11-29 10:49 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.016589 second(s), 6 queries , Qzip disabled