Man hat ja immer mal wieder einige Probleme mit seinem PC und fragt sich dann woher das kommt und dann entstehen die verrücktesten Theorien, von denen man dann nicht weiss ob sie stimmen oder nicht.
Was meint ihr dazu:
Man hat einen PC mit Windows XP und denkt dass es mal langsam wieder an der Zeit die Festplatte zu formatieren, da man sich wieder einmal unzählige Viren, Trojaner eingefangen hat und bestimmt wieder in mindestens 10 BotNets "enthalten" ist.
Was passiert aber wenn man den PC noch mal kurz benutzt hat, dann einen Neustart macht und dann die Prozedur für eine Neuinstallation ausführt ohne den PC "richtig" auszuschalten; soll meinen, dass man nur ein paar Neustarts macht.
Kann es sein, dass dann ein eventueller Virus im Hauptspeicher verbleibt und dann nach einer erfolgreichen Neuinstallation dann wieder das Betriebsystem befällt? Ich bin mir da nicht so sicher?
Es kommt, denke ich, darauf an was genau mit dem Hauptspeicher passiert, wenn man den PC neustartet; verbleiben die Daten dann noch im Hauptspeicher oder werden sie gelöscht bzw. nicht mehr beachtet?
Wird der Hauptspeicher bei einem Naustart völlig "entleert", also auf "Nullen" gesetzt oder nicht?
Also theoretisch wäre sowas vielleicht schon möglich, aber sehr unwahrscheinlich denke ich:
Der Viruscode muss im Hauptspeicher nach dem Neustart bleiben. Der Zustand des Hauptspeichers ist ja zugleich der Zustand der Maschine, also des PC; wenn der PC neugestartet wird, dann wird ja normal das Betriebsystem von der Festplatte geladen über den MBR (Bootsektor). Dem laufenden Betriebsystem ist es ja dann aber egal welche Daten auf dem Hauptspeicher sind, diese werden also ignoriert bzw., es wird doch dann wohl kein Programm gegben welches sich einfach denkt mal "einfach so" iergendwo in der Hauptspeicher zu springen und dann zufällig den Virencode auszuführen?
Ist eine neuinfektion auf einem solchen Wege möglich oder nicht bzw. was passiert mit dem Hauptspeicher wenn man den PC neustartet bzw. achtet dann das Betriebsystem auf noch eventuell verbliebene Daten im Hauptspeicher?
Arbeitsspeicher ist doch (meist) flüchtig, wird bei einem Neustart die Energieversorgung für den Arbeitsspeicher kurz gekappt oder nicht? Wenn ja, sind keine Daten mehr drauf beim Neustart afaik.
Arbeitsspeicher ist doch (meist) flüchtig, wird bei einem Neustart die Energieversorgung für den Arbeitsspeicher kurz gekappt oder nicht? Wenn ja, sind keine Daten mehr drauf beim Neustart afaik.
Njein. Bei nem normalen Reset wird die Ansich eher nicht gekappt und selbst wenn, können die Daten im DRAM es tatsächlich nen Moment aushalten. Ich weiß nicht wieviel es braucht, aber ich denke nach 10-30 Sekunden sollte man auf der sicheren Seite sein dass genug zerstört ist.
Wenn Du mir erklaerst, warum der Bootloader von Deiner Win-Install CD auf die Idee kommen sollte, den Viruscode, der sich in Speicher befindet, der noch nicht mal vom Windows-Speichermanager als benutzt markiert ist, anspringen sollte, dann raeume ich ein, dass die Moeglichkeit besteht. Ansonsten nicht.
Mo
warum sollte sich jmd. sone Arbeit machen.
die "richtigen" Viren machens sich doch beim BiOS bequem…
Wenn Du paranoid bist kannste ja zwischendurch nen memtest schieben.
Alternativ könnte man sich auch Antivir o.ä. installieren. Das kann zumindest feststellen, wenn Viren da sind [img]
http://www.fb18.de/gfx/22.gif[/img]
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach int 0x19 statt einem richtigen Neustart ausgeführt haben …
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach int 0x19 statt einem richtigen Neustart ausgeführt haben …
…und somit im Speicher blieben :-)
Das ist aber eher als guter Trick einiger alter DOS-Viren einzuorden.
Deshalb wurde früher auch immer empfohlen, den Rechner mit der Reset-Taste und nicht mit CTRL-ALT-DEL neu zu starten.
Denn einen "echten" Neustart überlebt kein Virus, da das BIOS den Speicher neu initialisiert. Ist aber meist auch nicht notwendig, weil es für Viren genügend andere Möglichkeiten gibt, rechtzeitig aktiviert zu werden.
PS: *Wenn* ein Virus beim Rechnerstart vor dem Virenscanner aktiv wird, hat er viele Möglichkeiten, sich vor AV-Programm zu verstecken. Antivir & Co. sind dann relativ nutzlos.
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach
int 0x19
statt einem richtigen Neustart ausgeführt haben …
Dos gibts nich mehr. Impliziiert das etwa, dass es nun keine Viren mehr gibt [img]
http://www.fb18.de/gfx/lachen.gif[/img]
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach int 0x19 statt einem richtigen Neustart ausgeführt haben …
Darf ich fragen, was dann passiert? :)
PS: *Wenn* ein Virus beim Rechnerstart vor dem Virenscanner aktiv wird, hat er viele Möglichkeiten, sich vor AV-Programm zu verstecken. Antivir & Co. sind dann relativ nutzlos.
Hab ja auch nur gesagt, dass Antivir zeigen kann, dass Viren da sind, nicht, dass keine Viren da sind. [img]
http://www.fb18.de/gfx/28.gif[/img]
Man kann nur den Schutz maximieren, wenn man einen Rechner an's Netz anschließt, gibt es keine absolute Sicherheit imho. ;-)
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach int 0x19 statt einem richtigen Neustart ausgeführt haben …
Darf ich fragen, was dann passiert? :)
Dieser Zähler wie man ihn auf den Diagnosekarten auch findet wird auf 00 gesetz (glaub ich). Dann beginnt das BIOS sein Startprogramm ablaufen zu lassen bis er wieder auf FF steht.
BeOS Nachfolger Zeta im RTL Shop
Ich sah eben im TV das der RTL Shop das Betriebsystem Zeta verkauft.
[img]
http://www.rtlshop.de/media/upload/preview/560035600031_b.jpg[/img]
Angeprissen wird es mit
-
keine Viren mehr - keine Computer Abstürze mehr
- inklusive Software (bei Windows 6000 Euro extra)
für 99.95
Endlich kriegen die DAUs eine CD mit der sie ihr Windows ersetzen können. Würde allerdings auch mit Mandrake funktionieren.
http://tinyurl.com/d2swp [edit fal: URL etwas kleiner gemacht…]
*g*
Unter MS-DOS (und Varianten) gab es Virenformen, die die Tastenkombination Alt+Strg+Entf abgefangen haben und dann einfach int 0x19 statt einem richtigen Neustart ausgeführt haben …
Darf ich fragen, was dann passiert? :)
Probier's doch aus …
irgendwas in der Art von:
mov ax, 0201h
mov bx, 7c00h
mov cx, 0001h
xor dx, dx
mov es, dx
push es
push bx
int 13h
jnc bootstrap
pop bx
pop es
int 18h
bootstrap:
retf(keine Gewähr auf den Code)
Hmm, laeuft das auch auf meinem Mac? ;) Noch ist da ein G4 drin, kein Intel :)
Hochsprachen sind halt doch praktischer :)
Hochsprachen sind halt doch praktischer :)
[_] Du hast es verstanden.
Mo
Auf einem x86 mit einem Dos drauf gibt das einen Soft-Reset, wenn ich das recht sehe. Solltest Du auch mittlerweile verstanden haben.
Mo
Auf einem x86 mit einem Dos drauf gibt das einen Soft-Reset, wenn ich das recht sehe. Solltest Du auch mittlerweile verstanden haben.
[ ] Du kannst mit Menschen kommunizieren ;)
Was ist denn nun der Unterschied zwischen dem, was beim Druecken von Strg+Alt+Entf normalerweise passiert und diesem 0x19? Und was ist daran relevant fuer einen Virus?
mov ax, 0201h
[...|
int 13h
[...]
int 18h
13h funktion 2 is Platte/Diskette lesen. (Bootsektor?), 18h
ist Rom-Basic starten. Das wirst Du wohl nicht meinen.
19h Initialisiert das RAM neu und bootet den Rechner neu (springt an die Adresse des Bios-Bootloaders), laesst aber die Interruptvektor-Tabelle wie sie ist. Insofern soll der Interrupt sowieso nicht benutzt werden, da, wenn die Interrupts umgebogen worden sind, die Vektoren auf genullten Speicher zeigen.
Wenn ein Virus sich retten will, und tatsaechlich dieser Int benutzt wird (was ich nicht glaube), so muesste er den Handler des Int 19h umbiegen, und den Speicher halt *nicht* neu initialisieren.
[…] diesem 0x19? […]
" LASER
".
Wenn Du nicht weisst, was ein Interrupt ist, oder was er tut, warum noergelst Du dann rum? Finde es raus, und beteilige Dich sachdienlich an der Diskussion, oder sei ruhig. Dinge wie
Hochsprachen sind halt doch praktischer :)
, sind vollkommen sinnlos, wenn man sich nicht mal ungefaehr denken kann,
was dann passiert? :)
Strg-Alt-Entf wird AFAIK unter DOS vom DOS-Tastaturtreiber abgefangen, und auf einen Neustart gemappt. Wie dieser Neustart aussieht, ist relativ egal.
In unserem Setting muss der hypothetische Virus naemlich den Neustart verhindern.
Mo
Burse, 5. Stock, 13:37 Uhr
Fal: "Nö, Du kriegst keinen Kaffee mehr von mir, Du hast mich im Forum angemotzt."
Mo: "[img]
http://www.fb18.de/gfx/8.gif[/img]"
SCNR [img]
http://www.fb18.de/gfx/15.gif[/img]
Der Kaffee steht bei mir… [img]
http://www.fb18.de/gfx/17.gif[/img]
13h funktion 2 is Platte/Diskette lesen. (Bootsektor?), 18h
ist Rom-Basic starten. Das wirst Du wohl nicht meinen.
Hae? Meinen? Ich? Die vielen Buchstaben und Zahlen hat doch Lowlevel gepostet, kannst du oben nachlesen… ich hab nur gefragt, was ich oben gefragt hab.
Wenn ein Virus sich retten will, und tatsaechlich dieser Int benutzt wird (was ich nicht glaube), so muesste er den Handler des Int 19h umbiegen, und den Speicher halt *nicht* neu initialisieren.
Ja das mein ich doch. Was hilft es dem Virus, wenn er noch irgendwo im Speicher steht, wenn diese Befehle nicht zur Ausfuehrung kommen? Oder: Wie kommen sie zur Ausfuehrung?
" LASER ".
-v
Wenn Du nicht weisst, was ein Interrupt ist, oder was er tut, warum noergelst Du dann rum? Finde es raus, und beteilige Dich sachdienlich an der Diskussion, oder sei ruhig.
Das hier ist ein Diskussionsforum, da sind solche Nachfragen nicht nur erlaubt, sondern erwuenscht. Solch arrogantes Rumgemotze wie hier von dir wuerd ich ja einfach loeschen, aber was soll's… ;)
Kaffee: Wird von mir mit Kaffeepulver von Chris auf Mos Maschine gemacht. Nur dass das hier nicht falsch dargestellt wird ;)
Prima, dann verstehen wir uns ja wieder.
Mo
