linux-l: Neuer Kernel - wie ?

Jan-Benedict Glaw jbglaw at lug-owl.de
So Apr 9 14:24:29 CEST 2000 

On Sun, Apr 09, 2000 at 08:32:39AM +0200, Jens Dreger wrote:
> > > Von Diskette booten zu können ist doch das sicherste Mittel sich
> > > Viren zu holen.
> > 
> > Na, ich denke mir, diese werden bei einem make bzdisk
> > zuverlässig vernichtet.
> 
> Gilt leider nicht fuer Retro-Boot-Viren mit Stealth-Mechanismus und
> "Jump"-Funktion. Die erkennen das "make bzdisk" bereits an der
> Rotationsgeschwindigkeit des Floppy-Motors. Allerdings koennen die
> ja schon von einer Diskette zur anderen springen, wenn die Disketten
> auf dem gleichen Schreibtisch liegen. Disketten in Essig einlegen soll
> angeblich helfen. Habe ich aber nie probiert, weil die Viecher die
> Disketten sowieso schon zur Haelfte aufgefressen hatten.

Der 1. April ist schon über eine Woche her! Also, wenn man make bzdisk
macht, dann wird:

dd bs=8192 if=bzImage of=/dev/fd0

ausgeführt. Selbst, wenn der eigentliche Virus am Ende der floppy steht, und
somit nicht durch das bzImage überschrieben wird (weil das keine 1.44MB groß
ist), wird der Virus, der vielleicht mal auf der floppy war, nicht gestartet.
Denn: Sein loader ist überschrieben worden. Da steht jetzt nämlich der loader
des kernels...

...und der Virus wird sich (so denn einer auf der floppy war...) ohne je-
de Widerwehr überschreiben lassen. Denn diese Viren sind so geschrieben, daß
sie sich an die DOS/BIOS-Funktionen klemmen, und somit allen Angriffen auf
ihr "Leben" aus dem Weg gehen können. Diese Funktionen werden unter Linux
aber gleich nach dem Laden des Kernels abgeschaltet und durch Kernel-eigene
Funktionen ersetzt.

Die sicherste Methode, einen potentiellen Virus von einer Diskette zu bügeln,
ist ein schlichtes "dd if=/dev/zero of=/dev/fd0"...

MfG, JBG
PS: Wer mit einen herkömmlichen Virus präsentiert, der sich mittels dd
    *nicht* von einer Diskette pusten läßt, der bekommt eine Riesenportion
    Eis;)

-- 
Fehler eingestehen, Größe zeigen: Nehmt die Rechtschreibreform zurück!!!
/* Jan-Benedict Glaw <jbglaw at lug-owl.de> -- +49-177-5601720 */
keyID=0x8399E1BB fingerprint=250D 3BCF 7127 0D8C A444 A961 1DBD 5E75 8399 E1BB

Mehr Informationen über die Mailingliste linux-l