ss 052ba что это
Мошенники не дремлет.
Есть у меня Почта для всякого мусора, реклама и тому подобное, сегодня утром обнаружил очень интересное письмо:
Добрый день. Я прогрaммиcт, кoторый взломaл Ваше уcтройcтво.
Я нaблюдaю зa вaми ужe неcколько мecяцев. Вы были зaрaжены вредоноcной программой черeз caйт для взроcлых, который вы поcетили. Еcли вы
не знaкомы c этим, я объяcню. Троянcкий вируc дaет мне полный доcтуп и контроль
нaд компьютером или любым другим уcтройcтвом. Это ознaчaет, что я могу видеть
вcе нa вaшем экрaне, включить кaмеру и микрoфон, но вы нe знaетe oб этом.
У меня тaкже еcть доcтуп ко вcем вaшим контaктaм, дaнным по cоциaльным cетям и вcей вaшей пeрепиcке.
Почему вaш aнтивируc не обнaружил вредоноcное ПO Ответ: Моя вредоноcнaя прогрaммa иcпользует дрaйвер, я обновляю его cигнaтуры кaждые 4 чaca, чтобы вaш aнтивируc молчaл.
Я cделaл видео, покaзывaющее, кaк вы удовлетвoряeте cебя в левой половине экрaнa, a в прaвой полoвине вы видите видео, которое вы cмотрели. одним щелчком мыши я могу отпрaвить это видео нa вcе вaши контaкты из почты и cоциaльных ceтей. Я тaкже могу oпубликовaть доcтуп ко вcей вaшей электронной почте и меccенджерaм, которые вы иcпользуете.
еcли вы хoтите предoтврaтить это, тo: Перeвeдите 650$(USD) нa мой биткoин-кошeлек (еcли вы не знaете кaк это cделaть, то нaпишите в Google: «Купить биткойн»).
Мой биткойн-кошелек (BTC Wallet):
129ycGA6Kh5ZSf93J8gPDfKCu6QwWAB8zH
Что только не придумают 🤦♂️ поднимите чуть выше 🙂
Вытаскиваем ПО из запароленного микроконтроллера Renesas M16C
Есть у меня знакомый, который занимается ремонтом автомобильного железа. Он как-то принес мне микроконтроллер, выпаянный из блока управления автономного отопителя. Сказал, что его программатор это не берет, а ему хотелось бы иметь возможность переливать прошивки туда-сюда, т.к. блоков много, в железе они часто одинаковые, а вот агрегаты, которыми они управляют отличаются. И вроде и блок есть взамен неисправного, но ПО разное и заменить просто так нельзя. Так как задачка была интересной, решил покопаться. Если тема интересна и вам, прошу под кат.
Подопытным оказался M306N5FCTFP. Это микроконтроллер группы M16C/6N5. Ядро M16C/60 разработано Mitsubishi, а т.к. преемником этой компании по части МК с 2003 года является Renesas, то сейчас эти микроконтроллеры известны именно под этим брендом.
Немного о самом микроконтроллере
Камешек представляет собой 16-разрядный микроконтроллер в 100-выводном QFP корпусе. Ядро имеет 1 МБайт адресного пространства, тактовая частота 20МГц для автомобильного исполнения. Набор периферии так же весьма обширный: два 16-разрядных таймера и возможность генерации 3-фазного ШИМ для управления моторами, всякие UART, SPI, I2C естественно, 2 канала DMA, имеется встроенный CAN2.0B контроллер, а также PLL. На мой взгляд очень неплохо для старичка. Вот обзорная схемка из документации:
Так как моя задача выдрать ПО, то так же весьма интересует память. Данный МК выпускался в двух вариантах: масочном и Flash. Ко мне попал, как выше уже упоминалось, M306N5FCTFP. Про него в описании сказано следующее:
Как вытащить из устройства то, что разработчики втащили
Вполне естественно, что начинать попытки достать что-то из микроконтроллера нужно с изучения механизмов, которые встроены разработчиком чипа для задач программирования памяти. В мануале указано, что производитель любезно разместил в памяти загрузчик, для нужд внутрисхемного программирования устройства.
Как видно из картинки выше, память разбита на 2 части: пользовательская область, и область загрузчика. Во второй как раз с завода залит загрузчик по умолчанию, который умеет писать, читать, стирать пользовательскую память и общается через асинхронный, синхронный, либо CAN-интерфейс. Указано, что он может быть переписан на свой, а может быть и не переписан. В конце концов это легко проверяется попыткой постучаться к стандартному загрузчику хотя-бы через UART… Забегая вперед: производитель отопителя не стал заморачиваться своим загрузчиком, поэтом копать дальше можно в этом направлении. Сразу оговорюсь, что есть еще способ параллельного программирования, но т.к. программатора для этого у меня не было, я не рассматривал этот вариант.
Вход в режим работы загрузчика обеспечивается определенной комбинацией на входах CNVSS, P5_0, P5_5 во время аппаратного сброса. Дальше либо написать свою утилиту для копирования содержимого памяти, либо использовать готовую. Renesas предоставляет свою утилиту, которая называется «M16C Flash Starter», но функция чтения у нее урезана. Она не сохраняет прочитанное на диск, а сравнивает его с файлом с диска. Т.е. по сути это не чтение, а верификация. Однако есть немецкая свободная утилитка с названием M16C-Flasher, которая вычитывать прошивку умеет. В общем начальный инструментарий подобрался.
О защите от считывания
Все бы было совсем просто, если бы в загрузчике не была предусмотрена защита от несанкционированного доступа. Я просто приведу очень вольный перевод из мануала.
Функция проверки идентификатора
Используется в последовательном и CAN режимах обмена. Идентификатор, переданный программатором, сравнивается с идентификатором, записанным во flash памяти. Если идентификаторы не совпадают, команды, отправляемые программатором, не принимаются. Однако, если 4 байта вектора сброса равны FFFFFFFFh, идентификаторы не сравниваются, позволяя всем командам выполняться. Идентификатор — это 7 байт, сохраненных последовательно, начиная с первого байта, по адресам 0FFFDFh, 0FFFE3h, 0FFFEBh, 0FFFEFh, 0FFFF3h, 0FFFF7h, и 0FFFFBh.
Таким образом, чтобы получить доступ к программе, нужно знать заветные 7 байт. Опять же, забегая вперед, я подключился к МК, используя тот же «M16C Flash Starter» и убедился, что комбинации из нулей и FF не проходят и этот вопрос придется как то решать. Здесь сразу же всплыла мысль с атакой по сторонним каналам. Уже начал прикидывать в голове платку, позволяющую измерять ток в цепи питания, но решил, что интернет большой и большинство велосипедов уже изобретено. Вбив несколько поисковых запросов, довольно быстро нашел на hackaday.io проект Serge ‘q3k’ Bazanski, с названием «Reverse engineering Toshiba R100 BIOS». И в рамках этого проекта автор решал по сути точно такую же задачу: добыча встроенного ПО из МК M306K9FCLR. Более того — на тот момент задача им была уже успешно решена. С одной стороны я немного расстроился — интересная загадка разгадана не мной. С другой — задача превратилась из поиска уязвимости, в ее эксплуатацию, что обещало гораздо более скорое решение.
В двух словах, q3k точно по такой же логике начал изучение с анализа потребляемого тока, в этом плане он был в гораздо более выгодных условиях, т.к. у него был ChipWhisperer, этой штукой я до сих пор не обзавелся. Но т.к. его первый зонд для снятия тока потребления оказался неподходящим и вычленить из шумов что-то полезное у него не получилось, он решил попробовать простенькую атаку на время отклика. Дело в том, что загрузчик во время выполнения команды дергает вывод BUSY, чтобы проинформировать хост о том, занят он, или готов выполнять следующую команду. Вот, по предположению q3k, замер времени от передачи последнего бита идентификатора до снятия флага занятости мог послужить источником информации при переборе. При проверке этого предположения перебором первого байта ключа действительно было обнаружено отклонение по времени только в одном случае — когда первый байт был равен FFh. Для удобства измерения времени автор даже замедлил МК, отключив кварцевый резонатор и подав на тактовый вход меандр 666кГц, для упрощения процедуры измерений. После чего идентификатор был успешно подобран и ПО было извлечено.
Первый блин — граблями
Ха! Подумал я… Сейчас я быстренько наклепаю программку к имевшейся у меня STM32VLDiscovery c STM32F100 на борту, которая будет отправлять код и измерять время отклика, а в терминал выплевывать результаты измерений. Т.к. макетная плата с целевым контроллером до этого подключалась к ПК через переходник USB-UART, то, дабы ничего не менять на макетке, работать будем в асинхронном режиме.
Когда при старте загрузчика вход CLK1 притянут к земле, он понимает, что от него хотят асинхронного общения. Собственно потому я его и использовал — подтяжка была уже припаяна и я просто соединил проводами две платы: Discovery и макетку с целевым M306.
Заметка по согласованию уровней:
Т.к. M16 имеет TTL-уровни на выводах, а STM32 — LVTTL (упрощенно, в даташите подробнее), то необходимо согласование уровней. Т.к. это не устройство, которое, как известная батарейка, должно работать, работать и работать, а по сути подключается разок на столе, то с трансляторами уровней я не заморачивался: выходные уровни от STM32 пятивольтовый МК переварил, в смысле 3 вольта как «1» воспринимает, выходы от М16 подаем на 5V tolerant входы STM32 дабы ему не поплохело, а ногу, которая дергает RESET M16 не забываем перевести в режим выхода с открытым стоком. Я вот забыл, и это еще +2ч в копилку упущенного времени.
Этого минимума достаточно, чтобы железки друг друга поняли.
Логика атакующего ПО следующая:
В итоге, для всех значений результаты были идентичны. Полностью идентичны. Тактовая частота таймера у меня была 24Мгц, соответственно разрешение по времени — 41,6 нс. Ну ок, попробовал замедлить целевой МК. Ничего не поменялось. Здесь в голове родился вопрос: что я делаю не так, как это делал q3k? После сравнения разница нашлась: он использует синхронный интерфейс обмена (SPI), а я асинхронный (UART). И где-то вот здесь я обратил внимание на тот момент, который упустил вначале. Даже на схемах подключения для синхронного и асинхронного режимов загрузчика вывод готовности назван по-разному:
В синхронном это «BUSY», в асинхронном это «Monitor». Смотрим в таблицу «Функции выводов в режиме Standart Serial I/O»:
«Семён Семёныч…»
Упущенная вначале мелочь завела не туда. Собственно, если в синхронном режиме это именно флаг занятости загрузчика, то в асинхронном (тот, который serial I/O mode 2) — просто «мигалка» для индикации работы. Возможно вообще аппаратный сигнал готовности приемопередатчика, оттого и удивительная точность его поднятия.
В общем перепаиваем резистор на выводе SCLK с земли на VCC, припаиваем туда провод, цепляем все это к SPI и начинаем сначала…
Успех!
В синхронном режиме все почти так же, только не требуется никакой предварительной процедуры установки соединения, упрощается синхронизация и захват времени можно выполнить точнее. Если бы сразу выбрал этот режим сохранил бы время… Я снова не стал усложнять и измерять время именно от последнего бита, а запускал таймер перед началом передачи последнего байта ключа, т.е. включаем таймер и отправляем в передатчик KEY7 (на скриншоте выше, из логического анализатора, видно расстояние между курсорами. Это и есть отсчитываемый отрезок времени).
Этого оказалось более чем достаточно для успешной идентификации. Вот так выглядит перебор одного байта:
По оси абсцисс у нас количество дискрет счетчика, по оси ординат, соответственно, передаваемое значение ключа. Отношение сигнал/шум такое, что даже никаких фильтров не требуется, прямо как в школе на уроке информатики: находим максимум в массиве и переходим в подбору следующего байта. Первые 6 байт подбираются легко и быстро, чуть сложнее с последним: там просто наглый перебор не проходит, нужен сброс «жертвы» перед каждой попыткой. В итоге на каждую попытку уходит что-то около 400 мс, и перебор идет в худшем случае в районе полутора минут. Но это в худшем. После каждой попытки запрашиваем статус и, как только угадали, останавливаемся. Я вначале вообще просто быстренько ручками перебрал идентификатор, вставляя в excel вывод консоли и строя график, тем более, что это была разовая задача, но уже для статьи решил дописать автоматический перебор, ради красивой консольки…
Конечно, если бы разработчик затер загрузчик (заменил своим), так просто выкрутиться не получилось бы, но в автомобильной электронике частенько МК вообще не закрыты. В частности в блоке управления с другого отопителя, в котором был установлен V850 того же Renesas все решилось подпайкой пары проводов и копированием прошивки штатной утилитой. Это в мире ЭБУ двигателем целые криптовойны. Видимо не нравится производителям явление чип-тюнинга и других видов вмешательства… Хотя это как гонка брони и снаряда — железки круче, дороже, но победителя нет…
Троян использует «режим Бога» Windows, чтобы спрятаться в системе
Как известно, в операционной системе Windows Vista, 7, 8 и 10 есть своеобразная пасхалка — GodMode (режим Бога). Начиная с версии Vista можно создать папку со специфическим именем, которая перенаправляет на настройки Windows или служебные папки, такие как «Панель управления», «Компьютер», «Принтеры» и проч.
Например, если создать на рабочем столе папку с названием GodMode. (вместо GodMode можно указать любые символы), то внутри будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»: скриншот.
Очень удобная фича для управления настройками в системе и для системного администрирования.
К сожалению, режим Бога используют не только сисадмины, но и авторы вирусов.
Специалисты из антивирусной компании McAfee Labs рассказывают о трояне Dynamer, который использует режим Бога, чтобы скрыться от обнаружения в системе.
Dynamer при установке записывает свои файлы в одну из таких папок внутри %AppData%. В реестре создаётся ключ, который сохраняется после перезагрузки, запуская каждый раз бинарник зловреда.
Таким образом, исполняемый файл нормально запускается по команде из реестра, но вручную зайти в эту папку нельзя: как указано в списке выше, папка <241D7C96-F8BF-4F85-B01F-E2B043341A4B>работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).
Вот содержимое папки, если открыть её в проводнике.
Более того, авторы трояна добавили к названию папки «com4.», так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.
Аналогично, удаление невозможно из консоли.
Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.
Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.
Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows
Антинуклеарные антитела, иммуноблот (аутоантитела класса IgG к 14 различным антигенам: nRNP/Sm, Sm, SS-A (SS-A нативный и Ro-52), SS-B, Scl-70, Jo-1, PM-Scl, протеин B центромера, PCNA, dsDNA, нуклеосомы, гистоны, рибосомальный белок P, AMA-M2)
Описание
Антинуклеарные антитела, иммуноблот — показатель аутоиммунных заболеваний соединительной ткани.
Иммуноблот антинуклеарных антител
Иммуноблот антинуклеарных антител позволяет в одном тесте одновременно провести исследование 15 основных разновидностей антинуклеарных антител, что обеспечивает проведение дифференциальной диагностики основных системных ревматических заболеваний. Каждая разновидность аутоантител, выявляемая с помощью иммуноблота, обычно отмечается у пациентов с характерной клинической картиной, поэтому спектр аутоантител позволяет не только диагностировать заболевание, но и установить риск развития определенных клинических проявлений.
Иммуноблот антинуклеарных антител необходимо использовать на втором этапе серологического обследования при положительном результате других тестов, указывающих на присутствие в сыворотке обследуемого антинуклеарных антител.
Метод иммуноблота антинуклеарных антител в диагностике системных ревматических заболеваний характеризуется высокой клинической специфичностью. Отрицательный результат иммуноблота в этом случае не исключает диагноза системных ревматических заболеваний.
Основные заболевания, связанные с выявлением антинуклеарных антител (антигены выявляемые при иммуноблоте) :
Интерпретация результатов
Единицы измерения: качественный тест, результат представляют в форме «обнаружено» или «не обнаружено».
При обнаружении полосы, характеризующей наличие какого-либо вида антител, интенсивность окраски полосы дополнительно описывают количеством плюсов («крестов») для каждого из выявленных видов антител. Увеличение степени позитивности косвенно отражает содержание и аффинность аутоантител.
Референсные значения: антитела к Sm, RNP/Sm, SS-A (60 kДа), SS-A (52 кДа), SS-B, Scl-70, PM-Scl, PCNA, CENР-B, dsDNA, Histone, Nucleosome, Rib P, AMA-M2, Jo-1 не обнаружены.
Результат определения аутоантител представляется в «крестах» для каждого соответствующего антигена. Увеличение степени серопозитивности косвенно отражает содержание и аффинность аутоантител.
Варианты результата оценки серопозитивности приведены ниже:
Импульсные блоки питания — устройство и ремонт
Сервисный центр Комплэйс выполняет ремонт импульсных блоков питания в самых разных устройствах.
Схема импульсного блока питания
Импульсные блоки питания используются в 90% электронных устройств. Но для ремонта импульсных блоков питания нужно знать основные принципы схемотехники. Поэтому приведем схему типичного импульсного блока питания.
Работа импульсного блока питания
Первичная цепь импульсного блока питания
Первичная цепь схемы блока питания расположена до импульсного ферритового трансформатора.
На входе блока расположен предохранитель.
Затем стоит фильтр CLC. Катушка, кстати, используется для подавления синфазных помех. Вслед за фильтром располагается выпрямитель на основе диодного моста и электролитического конденсатора. Для защиты от коротких высоковольтных импульсов после предохранителя параллельно входному конденсатору устанавливают варистор. Сопротивление варистора резко падает при повышенном напряжении. Поэтому весь избыточный ток идет через него в предохранитель, который сгорает, выключая входную цепь.
Защитный диод D0 нужен для того, чтобы предохранить схему блока питания, если выйдет из строя диодный мост. Диод не даст пройти отрицательному напряжению в основную схему. Потому, что откроется и сгорит предохранитель.
За диодом стоит варистор на 4-5 ом для сглаживания резких скачков потребления тока в момент включения. А также для первоначальной зарядки конденсатора C1.
Активные элементы первичной цепи следующие. Коммутационный транзистор Q1 и с ШИМ (широтно импульсный модулятор) контроллер. Транзистор преобразует постоянное выпрямленное напряжение 310В в переменное. Оно преобразуется трансформатором Т1 на вторичной обмотке в пониженное выходное.
И еще — для питания ШИМ-регулятора используется выпрямленное напряжение, снятое с дополнительной обмотки трансформатора.
Работа вторичной цепи импульсного блока питания
Во выходной цепи после трансформатора стоит либо диодный мост, либо 1 диод и CLC фильтр. Он состоит из электролитических конденсаторов и дросселя.
Для стабилизации выходного напряжения используется оптическая обратная связь. Она позволяет развязать выходное и входное напряжение гальванически. В качестве исполнительных элементов обратной связи используется оптопара OC1 и интегральный стабилизатор TL431. Если выходное напряжение после выпрямления превышает напряжение стабилизатора TL431 включается фотодиод. Он включает фототранзистор, управляющий драйвером ШИМ. Регулятор TL431 снижает скважность импульсов или вообще останавливается. Пока напряжение не снизится до порогового.
Ремонт импульсных блоков питания
Неисправности импульсных блоков питания, ремонт
Исходя из схемы импульсного блока питания перейдем к ее ремонту. Возможные неисправности:
Примеры ремонта импульсных блоков питания
Например, рассмотрим ремонт импульсного блока питания на несколько напряжений.
Неисправность заключалась в в отсутствии на выходе блока выходных напряжений.
Например, в одном блоке питания оказались неисправны два конденсатора 1 и 2 в первичной цепи. Но они не были вздутыми.
На втором не работал ШИМ контроллер.
На вид все конденсаторы на снимке рабочие, но внутреннее сопротивление у них большое. Более того, внутреннее сопротивление ESR конденсатора 2 в кружке оказалось в несколько раз выше номинального. Этот конденсатор стоит в цепи обвязки ШИМ регулятора, поэтому регулятор не работал. Работоспособность блока питания восстановилась только после замены этого конденсатора. Потому что ШИМ заработал.
Ремонт компьютерных блоков питания
Пример ремонта блока питания компьютера. В ремонт поступил дорогой блок питания на 800 Вт. При его включении выбивало защитный автомат.
Выяснилось, что короткое замыкание вызывал сгоревший транзистор в первичной цепи питания. Цена ремонта составила 3000 руб.
Имеет смысл чинить только качественные дорогие компьютерные блоки питания. Потому что ремонт БП может оказаться дороже нового.
Цены на ремонт импульсных БП
Цены на ремонт импульсных блоков питания очень отличаются. Дело в том, что существует очень много электрических схем импульсных блоков питания. Особенно много отличий в схемах с PFC (Power Factor Correction, коэффициент коррекции мощности). ЗАС повышает КПД.
Но самое важное — есть ли схема на сгоревший блок питания. Если такая электрическая схема есть в доступе, то ремонт блока питания существенно упрощается.
Стоимость ремонта колеблется от 1000 рублей для простых блоков питания. Но достигает 10000 рублей для сложных дорогих БП. Цена определяется сложностью блока питания. А также сколько элементов в нем сгорело. Если все новые БП одинаковые, то все неисправности разные.
Например, в одном сложном блоке питания вылетело 10 элементов и 3 дорожки. Тем не менее его удалось восстановить, причем цена ремонта составила 8000 рублей. Кстати, сам прибор стоит порядка 1 000 000 рублей. Таких блоков питания в России не продают.
Не смогли починить БП? Обращайтесь в Комплэйс.
Устройство китайских зарядок для ноутбуков описано здесь.