Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, опубликовал (http://www.securityfocus.com/archive/91/502934/30/0/threaded) код нового проекта Curuncula (http://www.packetstormsecurity.org/filedesc/curuncula-tgz.html), представляющего собой модуль ядра Linux для определения наличия rootkit'ов в ядре, основанных (http://www.opennet.me/opennews/art.shtml?n) на встроенных в процессоры Intel средствах отладки, в том числе использующих флаг доступа GD. Модуль работает в ядрах серии 2.4 и 2.6, основан на использовании механизма трассировки процессов в процессорах Intel ("last branch recording").URL: http://www.securityfocus.com/archive/91/502934/30/0/threaded
Новость: http://www.opennet.me/opennews/art.shtml?num=21450
А почему если Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, то проект только для руткитов под linux? Понятно что абсолютно разные системы BSD и Linux но лучше ведь начинать писать сразу под всё где это может пригодиться
Потому, что продукты будут разные по строению, а работа над несколькими проектами в один момент времени слишком утомительна.
Ко всему прочему, его модуль работает в двух ядрах - 2.4 и 2.6. И не каждый сможет дать однозначный ответ, возможно ли было написать универсальный код.
Так что, на первый взгляд, он написал два продукта.
Кстати, авторам руткитов осталось только научиться эмулировать загруженность этого модуля и его работу. :-)
Лучше написать под одну систему и затем портировать под другую, чем хвататься за все и не довести до ума нигде.
Процессор АМД да и ядро с kernel.org - чё делать???
застрелиться...Ъ по ссылкам не ходят? ;)
Ну а по делу.
А по делу, по ссылки написано, что автор выпустил маленький модуль ядра, который использует ОСОБЕННОСТИ архитектуры процессоров интел и делится им с сообществом, чему стоит возрадоваться. Под АМД если подобный функционал и существует, то он вероятно значительно отличается от интел, владельцы АМД могут покопаться в спеках на свой процессор и выслать патч автору.
Да, кстати, у меня тоже AMD. Не будет работать с ним?
Идёт к тому, что заметное процессорное время будет тратиться на проверки безопасности.
А мы сделаем 50-ти ядерные процессоры, и время станет совсем не заметным. А вообще по теме процессоров: http://www.3dnews.ru/news/12_yadernie_protsessori_opteron_po.../
>А мы сделаем 50-ти ядерные процессоры,Хз как там насчет 50, а АМД пообещало к 2010 году 16-ядерные оптероны.Не так уж далеко и до 50 осталось? :)
Сделали бы 2-х ядерный на 6 Ghz было бы чудно...
>Сделали бы 2-х ядерный на 6 Ghz было бы чудно...А зачем? Коллеги как-то тестировали два проца, оба 4х ядерных, один Sparc VII 2.5Gz, PowerV+ 5.0Gz, спарк показал производительность меньше на 2-3%, что укладывается в погрешности измерений. Цена сервера на спарке более чем в 2 раза ниже чем на power. И зачем нужен кипятильник на 6Gz?
заметьте. только неавно говорили про новый тип рткитов для линукс ядра.
а теперь вот что выпустили. так что это гуд. как говориться "full disclosure".
и этот принцип РАБОТАЕТ!
Скомпилировал я этот модуль, подгрузил, при вызове lsmod система ушла в ребут без предупреждений.
CPU: Intel E8400
ядро 2.6.29
А ты не молчи, а сразу bugreport.
уже
В слове "основанных" ссылка куда-то не туда ведёт.
>В слове "основанных" ссылка куда-то не туда ведёт.Там была новость про руткит.
Ждём новых руткитов, использующих особые особенности процессоров Intel для сокрытия своего присутствия от модулей распознавания руткитов!
и ждем новых модулей для модулей ядра Linux для распознавания rootkit`ов
50 ядер 1 из которых используется пользователем а остальные для самопроверки компьютера
Я тут подумал, а не может этот модуль быть руткитом?
U meny Linux8helena. Pereustanovka izbavit ot Rurkita (znak voprosa)