Антивирусы не панацея, и свежие (или старые но свежекриптованные) трояны/черви практически никогда не определяются их эвристиком - факт. Почему я выбрал для примера троянов/червей - потому, что подавляющее большинство их пишется не студентами-исследователями, а профессионалами, продающими потом ботнеты за немалые деньги, либо - пользующими ботнеты для спам-рассылок.
По части теоретической возможности реализации бируса - я здесь проблем не вижу. Единственное, что пока (возможно) нереализовано - собссно взаимодействие из SMM с ядром оси, но, думается, это не есть невозможной задачей. Хотя и достаточно сложно само по себе. В принципе получить физ. адреса расположения ядра и драйверов системы (хотя бы приблизительно) - несложно (из IDT к примеру, да и в GDT под ядро отведены отдельные дескрипторы - но что-либо твердо утверждать не буду т.к. в ядре винды не копался), подправить системные структуры, создав новый процесс или драйвер "на лету" - думается, тоже реально. + возможен вариант инжекта кода (потока) в какой-то системный процесс - все-таки SMM имеет привилегии несколько выше, чем привилегии ring0
+ от обнаружения антивирусом, даже при наличии оверлея на жестком диске (если бирус выйдет сильно жирным), спасет фильтрование обращений к портам IDE/SATA контроллера - что в SMM тоже реализуемо.
Собссно отсюда и выводы... Ждем появления первого представителя в "дикой природе"...
P.S. кстати, для параноиков ИМХО есть простой вариант хоть как-то подстраховаться - включить в свой биос какой-то ничего не делающий модуль, который бы занял все свободное место, и имитировал критичный модуль. Не думаю, что в бирусах будут реализовывать анализ и удаление модулей - во всяком случае, в первых представителях... Поскольку сильно заметно (у пользователя "вдруг" отвалился рэйд - ессно биос будет перешит тут же), + достаточно сложно определить, что же действительно излишне.
Антивирусы не панацея, и свежие (или старые но свежекриптованные) трояны/черви практически никогда не определяются их эвристиком - факт. Почему я выбрал для примера троянов/червей - потому, что подавляющее большинство их пишется не студентами-исследователями, а профессионалами, продающими потом ботнеты за немалые деньги, либо - пользующими ботнеты для спам-рассылок.
По части теоретической возможности реализации бируса - я здесь проблем не вижу. Единственное, что пока (возможно) нереализовано - собссно взаимодействие из SMM с ядром оси, но, думается, это не есть невозможной задачей. Хотя и достаточно сложно само по себе. В принципе получить физ. адреса расположения ядра и драйверов системы (хотя бы приблизительно) - несложно (из IDT к примеру, да и в GDT под ядро отведены отдельные дескрипторы - но что-либо твердо утверждать не буду т.к. в ядре винды не копался), подправить системные структуры, создав новый процесс или драйвер "на лету" - думается, тоже реально. + возможен вариант инжекта кода (потока) в какой-то системный процесс - все-таки SMM имеет привилегии несколько выше, чем привилегии ring0
+ от обнаружения антивирусом, даже при наличии оверлея на жестком диске (если бирус выйдет сильно жирным), спасет фильтрование обращений к портам IDE/SATA контроллера - что в SMM тоже реализуемо.
Собссно отсюда и выводы... Ждем появления первого представителя в "дикой природе"...
P.S. кстати, для параноиков ИМХО есть простой вариант хоть как-то подстраховаться - включить в свой биос какой-то ничего не делающий модуль, который бы занял все свободное место, и имитировал критичный модуль. Не думаю, что в бирусах будут реализовывать анализ и удаление модулей - во всяком случае, в первых представителях... Поскольку сильно заметно (у пользователя "вдруг" отвалился рэйд - ессно биос будет перешит тут же), + достаточно сложно определить, что же действительно излишне.