BIOS-ний троян від Absolute Software

  1. Історія

Технічні подробиці роботи "BIOS-агента" систем Computrace ( LoJack ітп співтовариші) від Absolute Software .

Історія

Система базується на різних способах впровадження в комп'ютерну систему. У самих старих версіях - це було лише додаток під Windows (прихований сервіс). Згодом була використана поширена техніка використання зміненого MBR. Це, з одного боку, давало логічні переваги простоти реалізації (завантаження до старту ОС), з іншого боку - серйозні обмеження, як з боку антивірусів, благополучно блокують і усувають подібні методики, так і з боку "простого" використання, тому що будь-який нестандартний вид MBR унеможливлював установку / функціонування "агента". Крім того, старі системи були орієнтовані на DialUp, що вимагало досить громіздких і щодо железозавісімих процедур по ініціалізації модемів (а також використовуваних ними COM-портів). Повсюдне розвиток інтернету дозволило орієнтуватися на з'єднання через LAN / Ethernet, і приблизно в 2004-му році була реалізована схема, яка зараз є основною і підтримана багатьма виробниками (як комп'ютерів - HP, Dell, Lenovo і ін., Так і BIOS - Phoenix / Award, AMI, UEFI) - коли код для запуску / інсталяції зберігається в FlashROM BIOS. Модуль Computrace вбудований в BIOS як PCI-ROM, тобто використовує звичайний стандарт, який потрібен для всіх завантажувальних PCI -устройств в системі - будь то мережева карта (c її BootROM на борту) або SCSI, SATA-контролер і т.д. В процесі роботи POST (в її кінцевої частини) скануються так звана Option ROM область пам'яті (де розташовуються модулі PCI-ROM), підраховується їх CRC і якщо все нормально BIOS їм передає їм управління для установки потрібних їх роботі ресурсів. Таким чином, подібна методика передбачає початкове знаходження даного модуля в вихідному BIOS системи. Відповідно це передбачає нові комп'ютери, з виробниками яких підписано угоду про використання в їх BIOS даного модуля (виробник BIOS сам вбудовує його в исходник власними силами). Або, в крайньому випадку, це оновлення BIOS з сайту виробника ноутбука (по тій же домовленості - BIOS також робиться виробником), і тоді процес перешивки цілком лягає на користувача. Система базується на різних способах впровадження в комп'ютерну систему

Отримавши управління, PCI-ROM модуль Computrace резервує у вільній пам'яті блок об'ємом 64 Кб, куди розшифровує / розпаковує свій код.
Отримавши управління, PCI-ROM модуль Computrace резервує у вільній пам'яті блок об'ємом 64 Кб, куди розшифровує / розпаковує свій код

У разі відсутності вільної пам'яті використовуються кілька общезвестних трюків, в т.ч. використання сегмента відеопам'яті.
У разі відсутності вільної пам'яті використовуються кілька общезвестних трюків, в т

В розпакованому / розшифрованому коді міститься процедура пошуку на вінчестері каталогу з Windows (підтримується FAT і NTFS) і два запускной exe-файлу.
В розпакованому / розшифрованому коді міститься процедура пошуку на вінчестері каталогу з Windows (підтримується FAT і NTFS) і два запускной exe-файлу

Точніше - файл, в який инкапсулирован ще один файл, який отримують пізніше.
Точніше - файл, в який инкапсулирован ще один файл, який отримують пізніше

Стартовий файл для установки агента заміщає собою autochk.exe в windows / system32, перейменовуючи оного в autochk.bak.
Стартовий файл для установки агента заміщає собою autochk

При старті Windows підроблений autochk.exe, отримавши управління, витягує зі свого тіла файл rpcnet.exe і прописує його в реєстр для роботи / автозавантаження в якості сервісу.
При старті Windows підроблений autochk

Після одержання керування від Windows вже в якості сервісу (rpcnet) він при наявності доступу в інтернет з'єднується з одним з керівників серверів 209.53.113.xxx (xxx.absolute.com).
Після одержання керування від Windows вже в якості сервісу (rpcnet) він при наявності доступу в інтернет з'єднується з одним з керівників серверів 209

З нього викачується повна версія, яка встановлюється на вінчестер в якості "звичайного" файлу (rpcnetp.dll) і вся основна робота вже покладається саме на його плечі.

C його допомогою комп'ютер управляється дистанційно - він приймає на виконання як "внутрішні" команди, так і, встановивши свій API-інтерфейс, дозволяє (віддалено) викликати стандартні Windows-процедури (application -рівня).

Сервіс забезпечує періодичний сигнал (раз на чотири години) до сервера на запит управління ім. У разі отримання відповіді від сервера про встановлений рівні втрати нотбука клієнт починає "довбати" вже кожні п'ятнадцять хвилин.

Встановивши віддалене управління, сервер може виконати різні команди, наприклад, за бажанням клієнта - видалити потрібні (або все) файли з диска.
Встановивши віддалене управління, сервер може виконати різні команди, наприклад, за бажанням клієнта - видалити потрібні (або все) файли з диска

Як доказ виробленої роботи на сторону сервера передається лог про всі віддалених файлах.

Основні патенти по темі:

  • Security apparatus and method (5,764,892, September 1, 1998)
  • Computer security monitoring apparatus and system (6,507,914, January 14, 2003)
  • Apparatus and method for monitoring electronic devices via a global network (6,300,863, October 9, 2001)
  • Method and apparatus to monitor and locate an electronic device using a secured intelligent agent via a global network (6,300,863, October 9, 2001)
  • Persistent servicing agent (20060272020, November 30, 2006)
  • та інші схожі за темою від Intel, HP і ін.
  • п.с. стаття написана на початку 2007-го року, опублікована 22.08.2009.

    Гражданский противогаз ГП-7Б
    Противогаз ГП-7Б гражданский предназначен для защиты органов дыхания от отравляющих веществ, биологических аэрозолей, от широкого спектра аварийно химически опасных веществ, радиоизотопов

    Fallout 4 Противогаз На Карте
    Плагины и моды для Fallout 4 - Каталог модов. Мод улучшает частицы от стрельбы, взрывов и огня в Fallout 4. 19 151статья в Убежище. Добавить новую страницу. Противогаз-маска Править. Бриджуэй Траст

    Бирка на противогазную сумку образец
    Главная » Разное » Бирка на противогазную сумку образец Cincinnati, ohio national institute for occupational safety and health, 1987. В нижней части коробки старенького эталона располагается активированный

    Противогазы - Информация о сайте
    Противогаз — средство защиты органов дыхания, также бывают противогазы, обеспечивающие защиту зрения и лица. Защитные свойства противогазов различаются по типу защиты: фильтрующие  — от конкретных

    Бирка На Противогаз Образец
    Бирка на противогаз образец. Сумка с противогазом ставится биркой наружу. На сумки для противогазов, а также на чехлы для перчаток и плащей оп-1м, размером 3х5 см данный размер строго соблюдается, пришивают

    О порядке проверок и замене фильтрующих противогазов при регулярном и длительном их применении
    Распечатать Вопрос: На сайте компаний, выпускающих противогазы, указывается информация, что фильтрующие противогазы ГП-7 подлежат технической проверке не более 8 раз. А нормативного подтверждения

    О ПРОТИВОГАЗЕ Противогаз надевается на голову солдата для
    О ПРОТИВОГАЗЕ: Противогаз надевается на голову солдата для устрашения противника и подавления его боевого духа. Сами посудите: сидит противник в окопе, чай мешает ложечкой, никого не трогает. Вдруг сверху

    Кто изобрел противогаз? Что повлияло на изобретение противогаза в России
    До сих пор не известно, кто изобрел противогаз. Единого мнения по данному вопросу не существует. Их примитивные прототипы применялись еще в Средние века, когда врачи использовали специальные маски с длинными

    Конструкция и принцип работы устройства противогаза
    Начиная со школьной скамьи, каждый человек хотя бы приблизительно был знаком с противогазом. Аппарат был впервые применен в 1915 году во время боевых действий — тогда один из противников применил химическое

    ОМЧС Резерв - Информационно-консультативный центр - Проверка противогазов
    В соответствии с Федеральными законами №28-ФЗ «О гражданской обороне» и №68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» все население страны должно