как проверить чистоту записанного на носитель образа?

как можно убедиться в отсутствии возможных ошибок, rootkitов, плохих скриптов в исполнительных файлах внутри образа дистрибутива, который был dd на usb-stick?

Только извне, через чексамы ВСЕХ файлов и загрузчика. Это, разумеется, с заведомо чистой машины. При подключении сохранять осторожность, не допускать автомонтирования.

является ли обязательным условием наличие минимум нескольких машин?

Да

есть ли сайты, похожие на virustotal.com для проверки линуксячих файлов?

Пробивать мд5 700-метрвых образов? В паблике, думаю, нет.

Только извне, через чексамы ВСЕХ файлов и загрузчика. Это, разумеется, с заведомо чистой машины.

Это, разумеется, с заведомо чистой машины.

замкнутый круг

Учитывая тренд на «апаратные бэкдоры» - лента Мёбиуса ))

замкнутый круг

Загрузиться с заранее созданного не зараженного CD и круг разорван.

наверное это единственный способ. придётся заказать какой-нить дистр. как можно оплатить, если неохота заниматься регистрацией веб-кошелька? можно ли по почте оплатить?

скачай у соседа, зачем заказывать?

сосед с семёрочкой наверное

и как это тебе мешает?

т.е ты не знаешь, не заражена ли вторая машина, чтоб довериьть ей запуск md5sum

Наличие руткитов в матрице ты всё равно проверить не сможешь, смирись.

гипотетически можно (в будущем мб)

можно md5sum делать выборычными кускатми, а поитом куски складывать...

Снять образ заново и сравнить его с исходным?

Нет. Идеальный руткит может полностью скрыть своё пребывание. В том числе убирать признаки заражения с файлов отбывающих на флешки и в интернет, чтобы из-вне так просто не определить факт заражения. Только загрузка с доверяемого LiveCD и проверка контрольных сумм файлов.

А вообще вряд ли кто-то уже написал настолько совершенный руткит и эта паранойя с заражением образов уже перебор.

Нет. Идеальный руткит может полностью скрыть своё пребывание

но его можно вычислить, как я писал комментарием выше - разбиваем файл /usr/bin/md5sum на куски по 5 байт (я не программист и не знаю какого МИНИМАЛЬНОГО размера может быть руткит, может меньше, может больше - тогда куски будут другого размера), потом содержимое этих неск. десятков кусков распечатываем и подсчитываем ВРУЧНУЮ (на калькуляторе) сумму каждого из них...

можно заметить, что файл выводится юзеру на экран и подменить файл оригиналом. то есть на диске всё заражено, а при чтении куда угодно кроме exec - не заражено. и при записи обратно исполняемые файлы вновь заражаются автоматически.

заражённой идеальным руткитом системе нельзя доверять в принципе, пока она активна.

можно подменять произвольные куски текстов и на основе разности вычислений проверять сходство блоков. в общем какой-то алгоритм действий придумать для способа подловить разности в разных блоках копий

Кстати, а в случае ядерного руткита вообще нет необходимости заражать другие файлы на диске. Можно поступить очень просто:

1) В системном вызове exec инфицируем уже загруженный в память код.

2) Руткит на диске хранится только в образе ядра. При любых запросах на открытие и чтение файла с образом ядра - отдаём оригинал. При любой записи чего-то, что можно определить как образ ядра (не думаю, что это сильно сложно - найти ELF с Multiboot-заголовком) - инфицируем.

Как такое обнаружить без LiveCD?

А вообще вряд ли кто-то уже написал настолько совершенный руткит и эта паранойя с заражением образов уже перебор.

Вот наверняка он сейчас стоит у тебя, а ты и не подозреваешь и не можешь обнаружить.

Ну... что уж тогда... можно считать, что все системы уже заражены неким руткитом. Все новые приложения подвержены ему, потому что компилятор добавляет код руткита. В таком случае в исходниках этого руткита уже может и совсем не быть. Да, hex-редакторы, ассемблеры и т. д. уже тоже заражены (своими компиляторами) и даже с их помощью нельзя набрать чистый код. Файловые менеджеры из-за руткита показывают размеры файлов меньше, чем есть, чтобы скрыть присутствие руткита.

Тогда можно создать чистую систему, только если с нуля собрать все электронные компоненты без использования компьютерных технологий (да, руткит же может влиять и на приложения для управления штамповкой чипов, добавляя аппаратный бэкдор) и написать так же с нуля весь софт для них. И опять же это сработает только, если мы не в Матрице %)

Кстати, вариант для сценария фильма %) Хакер обнаруживает этот руткит, подбирает код управления и пытается захватить мир.

Ну на почте то тебе уж точно подменят диск на заражённый.

может кто-нибудь сможет сделать реверсинженеринг ядра? в будущем...

нет всё таки если чтение подменено, то dd > куданибудь.... в общем по-хитрому как-то можно схему придумать

Это куда-нибудь тоже заражено.

на открытие и чтение файла с образом ядра - отдаём оригинал

на открытие и чтение файла с образом ядра - отдаём оригинал

В смысле, что при записи образ вновь будет инфицирован.

http://habrahabr.ru/post/146185/

а через порт принткра на запись флеху как-нибудь можно организовать?

через что??

какой-нить переходник

через машину из лего

Ну запишите вы на флешку неинфицированное ядро (вы же не на системный диск пишете, так что подменять данные не следует. нас ведь интересует максимальная незаметность, а не заражение других машин), а толку? Только если загружаться с флешки, но это уже тот вариант с LiveCD. А пока активно ядро с руткитом ничего странного вы не заметите.

Обнаружить факт виртуализации находясь внутри виртуальной машины можно только заметив ошибки и неточности эмуляции. Если их нет, то мы никогда не узнаем правды. Совсем никогда. Аналогично с Матрицей.

Ну запишите вы на флешку неинфицированное ядро (вы же не на системный диск пишете

что то не понял, какой системный диск?

я тебя тоже :-)

мой гипотетический руткит подменяет данные при записи на системный диск, чтобы при следующей загрузке руткит остался в системе. Если данные уходят вовне - на флешку, на обработку другими программами, то они не заражены.

ну если ты можешь переписать с флехи на системный диск?

из-под активной системы при копировании с флешки на системный диск данные будут модифицированы руткитом. при копировании из-под чистого LiveCD всё получится, но я это и не отрицал. Ты же говоришь тебе надо без дополнительных доверенных компьютеров и LiveCD.

при чём тут с какой системы копировать? вирус и на ливсд может есть. факт что можно записать как-то в чистом виде, или я опять что-то упустил?

записать в чистом виде можно только аппаратно, без ОС вообще.

и то если нет аппаратных бэкдоров

в общем, если у вас есть некий девайс, которому вы доверяете и который имеет ATA/SATA порт, то его можно подключить к диску и накатить чистую систему. и только при условии, что нет бэкдора в контроллере жёсткого диска или процессоре (в этом случае система будет повторно заражена после первой загрузки на этой машине).

ну а если через шину принтера ты подклячаешь и принтер и переходник на usb одновременно и кидаешь на вывод шины dd с образами программ?

когда dd будет читать образ ядра, руткит ему подсунет оригинал.

будет повторно заражена после первой загрузки на этой машине

методом исключения можно будет выявить заражённые блоки и подменить

мы же уже решили, что достаточно руткита в ядре. так что надо просто полностью прозрачно перенаправлять файловый ввод-вывод к оригинальной копии ядра на диске, когда происходит open к /boot/vm-linuz

я это сказал для случая бэкдора в процессоре. то есть аппаратном рутките.

если всё только программное, то никаких проблем специальным девайсом подключиться напрямую к диску и изменять данные на нём.

специальным девайсом подключиться напрямую к диску и изменять данные на нём

что за девайс?

можно содержимое памяти под жидким азотом прочитать.

если всё только программное

и то мне кажется что с помощью каких нибудь махинаций с ядром можно выявить руткит в железе

что за девайс?

Это ты начал про девайсы)

можно содержимое памяти под жидким азотом прочитать.

разумеется. но имхо проще просто загрузиться с LiveCD.

и то мне кажется что с помощью каких нибудь махинаций с ядром можно выявить руткит в железе

Если в нём нет ошибок, то нельзя. Только п внешним признакам. Например, если руткит сливает данные куда-либо, то засечь странные пакеты на шлюзе (где стоит ОС, которой мы доверяем), либо засечь радио-передачу с помощью специального оборудования, которому мы опять же доверяем.

будет повторно заражена после первой загрузки на этой машине

чем, если же мы смогли записать его чистым?

при условии, что нет бэкдора в контроллере жёсткого диска или процессоре

если в процессоре тоже сидит зловред (на уровне микрокода), то он пропатчит память ядра при первой загрузке, а дальше уже по стандартной схеме.