Quanto è efficace qualcosa come Deep Freeze contro le infezioni del settore di avvio?

Naviga le tue risposte
7

Lavoro per un produttore di sistemi embedded e sui nostri sistemi di vecchia generazione, che sono supportati da Windows Embedded, un numero di clienti ha riscontrato infezioni da virus. A causa della natura in tempo reale di questi sistemi, le soluzioni antivirus non sono particolarmente pratiche.

Sono principalmente causati dal fatto che i loro dipendenti siano su Internet e scaricano materiale inappropriato sul sistema. Richiediamo il browser per ragioni di servizio clienti, quindi limitarlo semplicemente non è un'opzione.

Abbiamo esplorato Deep Freeze come un modo per mitigare il problema, questo strumento è progettato per ripristinare lo stato del file system.

Non sono sicuro se questo sarà efficace contro i virus del settore di avvio, qualcuno ha qualche esperienza con questo? Qualcuno ha usato Deep Freeze per questo tipo di scopo?

Dove posso ottenere virus del settore di avvio ragionevolmente rilevanti per i test? (Per chiunque sia preoccupato della legittimità di questa parte della domanda, posso essere contattato al mio indirizzo email di lavoro per la verifica, è l'e-mail associata a questo account).

    
posta Stephen 15.11.2011 - 19:22
fonte

3 risposte

10

Perdonami, ma la soluzione numero 1 per un sistema dipendente in tempo reale è quella di non lasciare che una roba indesiderata non venga eseguita su di esso. Gli utenti non dovrebbero navigare in Internet con una configurazione RTOS. Deve fermarsi ieri.

Almeno in teoria, i sistemi di tipo Deep Freeze proteggeranno il tuo computer da qualsiasi modifica permanente. Intercettano tutte le attività di scrittura e le rimappano. Ciò significa che eventuali modifiche, incluso il settore di avvio, verrebbero sottoposte a dereferenziamento all'avvio. I dati congelati non vengono mai sovrascritti, puntati semplicemente fino a quando il sistema non viene ripristinato.

    
risposta data 15.11.2011 - 19:52
fonte
9

Innanzitutto, sono d'accordo con Jeff. Collegare i sistemi in tempo reale a Internet non è una buona idea, soprattutto se sono critici.

In secondo luogo, in Deep Freeze - secondo l' articolo di Wikipedia :

Deep Freeze is a kernel-level driver that protects hard drive integrity by redirecting information being written to the hard drive or partition, leaving the original data intact.

In termini di impatto sul tuo sistema ciò significa che le scritture hanno un aspetto simile a questo: 

 ----------------------                ---------------------
 | Userland program   |<-----Read--------|  Kernel         |          |-------------------|
 | e.g. explorer.exe  |                | |-|-------------|<---Read----|  File system      |
 | or something else  |<-----Write--|  |   | Deep Freeze | |          |  i.e. directly to |
 ---------------------- or read of  |------| Driver      | |          |  block device     |
                  modified contents    |   |-------------- |          |-------------------|
                                       |         /|\       |
                                       -----------|---------
                                                  | Write/read changed content
                                                 \|/
                                           ----------------
                                           | Some form of |
                                           | temporary    |
                                           | storage      |
                                           ----------------

Quindi qualsiasi modifica apportata utilizzando le routine IO standard verrà reindirizzata a una memoria temporanea. Le letture, a quanto ho capito, seguiranno anche questo se il contenuto viene modificato, altrimenti viene caricato direttamente dal file system stesso. Quando il sistema viene ricaricato, quella sezione viene dimenticata.

Quanto è efficace questo dipende dal livello di penetrazione. All'interno del kernel, se si usano le routine uncinate per scrivere file, anche le tue scritture verranno reindirizzate. Tuttavia, i kernel possono scrivere direttamente sul disco e conterranno il codice per farlo, quindi, a meno che non applichi una patch a tutto questo per rimuoverlo, è possibile scrivere su disco. L'intercettazione è probabilmente più alta di quella, soprattutto perché prenderà il 99% di tutte le chiamate e perché è affidabile.

Where can I obtain reasonably relevant boot sector viruses for testing?

Ora, il nodo del problema. La protezione da scrittura di Deep Freeze funziona solo una volta caricata. Quindi sei corretto nel presupposto che se carichi il codice prima del deep freeze le routine standard funzioneranno per te. Potresti anche caricare un filtro con una priorità maggiore, intercettare determinate scritture e persisterle prima che il deep-free le veda.

Per trovare il codice che ti consentisse di iniziare, vbootkit 2.0 era una dimostrazione di concetto (oltre a inserire se stesso non faceva molto) "bootkit" progettato per compromettere il pre boot di windows vista x64. È scomparso da internet a cercarlo questa sera, ma se riesci a trovarne una copia, questo ti darà un punto di partenza. È, tuttavia, complicato. Sto scrivendo un driver di filtro adesso (incolpare AviD) e farlo bene è difficile. Tuttavia, non conosco alcun codice che miri intenzionalmente a bloccare il deep-free.

    
risposta data 15.11.2011 - 21:17
fonte
5

Il "modo giusto" per proteggere il codice di avvio su un dispositivo incorporato è quello di caricare da una ROM: dovrebbe essere difficile per modificare il settore di avvio. Anche senza una vera ROM, la maggior parte dei dispositivi flash che ho visto hanno una sequenza di blocco che è possibile scrivere all'interno del driver flash. Ciò rende più difficile sovrascrivere il dispositivo (non impossibile, ad esempio con un attacco mirato), impedendo ai virus della varietà da giardino di infettare il boot. Per quanto riguarda la ricerca di virus da testare, prenderei in considerazione la possibilità di scrivere qualcosa che abbia una conoscenza specifica del tuo sistema per testare quanto siano forti le tue protezioni.

    
risposta data 15.11.2011 - 22:33
fonte

Leggi altre domande sui tag

Come posso convertire la mia chiave segreta PGP crittografata per l'utilizzo dell'autenticazione SSH? Quali sono le leggi in materia di ISP che registrano gli indirizzi IP? Come avrebbero saputo chi aveva che cosa?