Форум: Культурный флейм, слухи
Тема: AS интегрируют в винду.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 [24] 25 26
[Ответить]
igorekk [07.04.2006 11:46] :
- const_mech писал(а):
А может это специфика мобильных устройств, в которых всё крутится НЕ вокруг "дистрибутивов", а вокруг "прошивок".
PS. Ждём Вадима.
ВадимП [07.04.2006 11:49] :
- igorekk писал(а):
А как разруливать "наслоение" конфиг-файлов, например? И разные версии служебных библиотек.
И Вы это прекрасно знаете: вспомните www.pocketworkstation.org/ - это именно то, о чём говорил уважаемый const_mech.
Ведь /etc и всякие там /lib и /usr/lib тоже подменяются.
P.S. Единственное, что мешает одновременно запускать X и Qtopia - это то, что Qtopia блокирует смену виртуального терминала, что делает саму процедуру малополезной.
const_mech [20.04.2006 23:16] :
А может кто-нибудь прокомментировать следующее странное сообщение:
- http://citcity.ru/12301/ писал(а):
Линус Торвальдс выпустил патч, позволяющий кросс-платформенному вирусу работать в ядре Linux
20 апреля 2006 г
В исходном коде компилятора GCC существовал баг, который не позволял передавать управление определённым регистрам при определённых системных вызовах, в результате чего вирус Linux/Bi-A не мог распространятся.
Оказывается, и вирусы могут приносить пользу. В нашумевшем недавно кросс-платформенном вирусе, код которого проанализировали специалисты, не наблюдалось распространение в мире открытых систем (к коим относится и Linux) ввиду того, что в исходном коде компилятора GCC (при помощи которого, собствено, и производится сборка ядер) существовал баг, который не позволял передавать управление определённым регистрам при определённых системных вызовах (это было связано с работой системного вызова sys_ftruncate() с регистром EBX).
Линус Торвальдс выпустил патч, который теперь позволяет вирусу работать в ядрах Linux. Попутно господин Торвальдс обвинил господина Касперского (в лице руководимой им Лаборатории) в создании шума в PR-целях. Патч был создан на основе анализа вируса Linux/Bi-A, который был выполнен Hans-Werner Hilse.
1. Причем тут Линус Торвальдс? Ведь баг в коде компилятора, а НЕ в коде Системы.
2. Зачем вообще нужно создавать возможность распространения для этого вируса?
ВадимП [21.04.2006 07:12] :
Чтобы было немного более понятно привожу оригинал сообщения (господа из SecurityLab как обычно всё перепутали). Сама фраза про "баг, который не позволял передавать управление определённым регистрам" ничего кроме истерического смеха не вызывает - регистры принципиально НЕ МОГУТ "получать управление". Речь шла о том, что изза ошибки в компиляторе одна из устаревших функций работы с подсистемой памяти случайно затирала сохраненное в стеке значение указанного регистра (EBX).
- Torvalds creates patch for cross-platform virus писал(а):
The bug, which seems to me is more of a bug in GCC than the kernel, doesn't seem to appear in most code. It takes the rare combination of hand-crafted assembler code and the use of old, now deprecated, system calls to appear. This lends support to the speculation that this virus is not new code at all, in spite of how Kaspersky Lab is trying to use it to drum up new business.
I wrote Torvalds with Hilse's suspicion that the problem is caused by the ftruncate system call, manifested in the erroneous old_mmap function. According to Torvalds:
This is exactly right. "sys_ftruncate()" seems to corrupt %ebx due to a compiler issue. We've had that issue before: the kernel uses some special calling conventions where the system call stack is both the saved register area _and_ the argument area to the system calls.
That speeds up system call entry, since we avoid any unnecessary argument setup costs, but sadly gcc then thinks the callee function owns the argument stack, and can overwrite it. We've had hacks to avoid it in the past, but the ftruncate case has gone unnoticed (see later on why it doesn't matter for any normal apps).
So, for sys_ftruncate(), gcc compiles it to
sys_ftruncate:
movl 4(%esp), %eax # fd, fd
xorl %ecx, %ecx # length
movl 8(%esp), %edx # length, length
movl $1, 4(%esp) #,
jmp do_sys_ftruncate #
where that "movl $1, 4(%esp)" overwrites the original argument stack (the first argument, which is the save-area for %ebx).
Sad, sad. This particular case only happens with "-mregparm=3", which has been around for a long time, but only became default in 2.6.16. Which is probably why Hans-Werner didn't see the problem with older binaries. He just compiled with a different configuration.
Now, the reason normal programs don't care is that glibc saves and restores the %ebx register in the system call path. So if you use the regular C library, you'd never care. The virus has probably been written by hand in assembly, and because it didn't save/restore %ebx, it was hit by the fact that the system call modified it.
(To make it even harder to hit - it probably also only happens with the old "int 0x80" system call mechanism, not with the modern "syscall" entrypoint. Again, you'd probably only see this on old hardware _or_ if you wrote your system call entry routines by hand).
So the virus did a number of strange things to make this show up, but on the other hand the kernel does try to avoid touching user registers, even if we've never really _guaranteed_ that. So the 2.6.16 effect is a mis-feature, even if a _normal_ app would never care. It just happened to bite the infection logic of your virus thing.
Hilse has tested the patch provided by Torvalds as a workaround, and reports:
Indeed, this worked. With a recompiled kernel, everything is running as expected. And yes, it is using the int 0x80 interface from assembly code. As it's viral code, it is trying to avoid any overhead and reuses registers as much as it can (from what I can tell).
Leave it to open source hackers to debug and fix aging viral code so that it works correctly. And shame on the anti-viral industry, Kaspersky Lab in particular, for its attempts to deceive the public by passing off old code as something new.
По поводу "вирусов для Линукс" ситуация очень проста - их нет. И быть не может. То, о чём шла речь в сообщении лаборатории Касперского - это не более, чем "самопиар". Чтобы найти идиотов, которые будут покупать их продукты для защиты от несуществующей в природе угрозы.
igorekk [21.04.2006 10:19] :
- Dart писал(а):
неужели никто антивирем под Линуксом не пользуется?
ВадимП [21.04.2006 18:17] :
Dart: в реальной жизни Unix-вирусов не существует. Существуют "детские поделки" созданные по образу и подобию вирусов для MS-Dos, но ясное дело, что нарваться на подобный вирус в сети во-первых, невозможно, а во-вторых, безопасно.
Этот вирус в любом случае не сможет ничего заразить.
Причина очевидна - Unix (как и windows кроме серии 9х) многопользовательская система. При этом устанавливает приложение в систему один пользователь, а запускает его потом на выполнение - другой.
И получается, что во время установки заражения не происходит потому что зараженный файл не исполняется, а во время выполнения заразить ни один исполняемый файл нельзя - пользователь попросту не имеет для этого необходимых привилегий.
Поэтому чистых вирусов для Unix-подобных ОС нет, не было и не будет (они и для windows-то практически вымерли).
Зато есть, конечно, червяки и трояны.
Но для защиты от них обычно антивирусы не применяются. Вместо них используют мониторы сетевой активности и контроль целостности системных файлов.
Принципиальных отличий подобного подхода от использования антивирусов два: во многих случаях IDS позволяет не только зафиксировать, но и блокировать сетевую атаку (и даже нанести атакующему автоматически ответный удар), что позволяет не лечить заражение, а предотвратить его. Это раз.
И два - модификация системных файлов и выявленная необычная сетевая активность позволяют пользователю обнаруживать не только известные типы вредоносного ПО, но и те, которые еще не успели попасть в базы антивирусных лабораторий.
ViV [21.04.2006 21:48] :
а еще есть мандатный контроль доступа...
Darkcat [04.05.2006 02:03] :
Не, наоборот, при покупке ХР я переплачиваю за предустановленный AS. И это меня не радует
mur [04.05.2006 10:22] :
- Darkcat писал(а):
Не, наоборот, при покупке ХР я переплачиваю за предустановленный AS. И это меня не радует
Shturmovik [04.05.2006 11:31] :
Но AS ее все равно делает выше. Хоть немного, но выше.
[Ответить]
[< Назад] [Вперед >]