Наиболее простой способ обнаружить присутствие руткита BIOS на компьютере заключается в сравнении текущей BIOS с идентичной BIOS, скачанной с сайта поставщика. В данном контексте «идентичная» означает файл BIOS точно такой же версии, как и файл BIOS, установленной на исследуемом компьютере. Справиться с этой задачей вам может помочь строка bios id. Обычно строка bios id имеет следующий формат:
Дата_выпуска_В103-Ю_чипсета_материнской_платы-10_чипа_контроллера_ввода/вывода- код_выпуска_В103-версия_В103 В зависимости от поставщика, компонент версия_вюэ строки bios id может быть комбинацией цифры и буквы или же состоять только из цифр. Во многих случаях информация о дате выпуска BIOS является достаточной, чтобы найти и скачать идентичную BIOS с сайта поставщика. Удостовериться в правильности скачанной BIOS можно, сравнив ее строку bios id со строкой bios id текущей BIOS. Имея в своем распоряжении эталонную BIOS, проверить целостность BIOS исследуемой системы можно, выполнив побайтовое сравнение обеих BIOS при помощи любого hex-редактора или иной аналогичной утилиты. Однако этот подход сопряжен с определенной проблемой — если BIOS на сайте поставщика заражена таким же руткитом, то установить подлинность подозреваемой BIOS, сравнивая ее с такой «эталонной» BIOS, не удастся. Основы внедрения кода в BIOS методом таблицы перехода POST были изложены в Разд. 6.2 главы 6. Бороться против такого способа внедрения постороннего кода в BIOS можно, проверяя таблицу переходов POST в Системной BIOS с помощью специально созданного для этой цели распаковщика. Разработка такого распаковщика для Award BIOS и большинства других существующих BIOS не должна представлять особых трудностей. В этих BIOS применяется алгоритм сжатия, основанный на вариантах алгоритма Лемпель — Зива с последующим кодированием алгоритмом Хаффмана. Предварительную разработку распаковщика можно ускорить, используя сценарии или подключаемые модули IDA Pro или же IDA Python. Основной принцип работы такого распаковщика заключается в том, что при распаковке он сканирует таблицу переходов POST на присутствие подозрительных элементов. Кроме того, можно реализовать и сканирование элементов на присутствие подозрительных сигнатур. Помимо этого, присутствие руткита BIOS можно выявить, сравнив цифровые подписи подозреваемой и эталонной BIOS. Но для этого необходимо позаботиться о создании цифровой подписи еще до того, как возникнет необходимость в проверке целостности BIOS.
Рубрика: Женский интерес