linux-l: Neuer Kernel - wie ?

So Apr 9 15:36:11 CEST 2000

On Sun, Apr 09, 2000 at 03:03:13PM +0200, Jens Dreger wrote:
> On Sun, Apr 09, 2000 at 02:24:29PM +0200, Jan-Benedict Glaw wrote:
> > On Sun, Apr 09, 2000 at 08:32:39AM +0200, Jens Dreger wrote:
> > > > > Von Diskette booten zu können ist doch das sicherste Mittel sich
> > > > > Viren zu holen.
> > > > 
> > > > Na, ich denke mir, diese werden bei einem make bzdisk
> > > > zuverlässig vernichtet.
> > > 
> > > Gilt leider nicht fuer Retro-Boot-Viren mit Stealth-Mechanismus und
> > > "Jump"-Funktion. Die erkennen das "make bzdisk" bereits an der
> > 
> > Der 1. April ist schon über eine Woche her!
> Tatsaechlich !
> 
> > [allerlei goldrichtige Bemerkungen geloescht] 
> > 
> > MfG, JBG
> > PS: Wer mit einen herkömmlichen Virus präsentiert, der sich mittels dd
> >     *nicht* von einer Diskette pusten läßt, der bekommt eine Riesenportion
> >     Eis;)
> 
> Da bist Du wohl auf der sicheren Seite: wenn es ihn gaebe, waere er
> wohl nicht "herkoemmlich" zu nennen ;-)
> 
> Mir scheint jedoch, Du hast noch nie mit Leuten diskutiert, die einen 
> Monitor umtauschen wollten, "weil er von Viren befallen sei", oder die
> gleich nach einem neuen Computer verlangten, weil sie den alten
> "aufgrund katastrophalen Virenbefalls" aus dem Fenster geworfen
> hatten. "Da war nichts mehr zu machen, total vervirt."

Mal davon abgesehen, daß ich mit denen nicht diskutieren würde (Kunde ist
König;) würde ich denen eher einen neuen Computer/Monitor/XXX verkaufen...

> Trotzdem sollte doch ein Linux-Virus, sofern er vor dem kernel in den
> Speicher gelangt, beliebig viel Schaden anrichten koennen, oder ?

Also, schlimmster Fall: Du bootest DOS, lädst Dir 2 Dutzend Viren, und
startest dann mit loadlin.exe durch. Dann wird der Kernel geladen, und 
loadlin übergibt dem Kernel die Kontrolle. Der dekomprimiert sich dann und
startet durch. Jetzt wird's interessant: Wenn der Kernel startet, sind wir
8086-kompartibel. Einige Werte werden noch schnell kopiert (im wesentlichen
sind das verschiedenste Hardware-Werte des Rechners) und dann werden Vor-
bereitungen getroffen, in den Protected Mode umzuschalten. Exception
Handler werden eingetragen, ... Das ist der einzig gefährliche Punkt: ein
Virus könnte einen anderen handler installieren. Das ist aber nicht schlimm,
denn wenn dann der Kernel endlich in den Protected Mode umschaltet, und somit
nur noch virtuelle Adressen gelten, würde sich herausstellen, daß der
Virus-Handler nicht zum Text-Segment (der Speicherbereich, in dem der aus-
führbare Teil des Kernels liegt) gehört, was sofort zu einer Panic führen
würde.

...oder mit anderen Worten: geht nicht.

> Gibt's denn sowas noch nicht ??

Hmmm. Du könntest den Assembler-Teil des Kernels neuschreiben und darin
Virus-Funktionalität implementieren, davon einen Patch machen und den auf
linux-kernel at vger.rutgers.edu posten. ...aber danach möchte ich nicht in
Deiner Haut stecken;)

MfG, JBG

-- 
Fehler eingestehen, Größe zeigen: Nehmt die Rechtschreibreform zurück!!!
/* Jan-Benedict Glaw <jbglaw at lug-owl.de> -- +49-177-5601720 */
keyID=0x8399E1BB fingerprint=250D 3BCF 7127 0D8C A444 A961 1DBD 5E75 8399 E1BB