Chraňte počítač už na hardwarové úrovni

Diskuze čtenářů k článku

Ing. Daniel Zabrdsky  |  14. 12. 2005 03:12  | 

Uz nejakou dobu u nas ve skole - v pocitacove ucebne - pouzivame specialni hardware, ktery vsak lze bezne koupit. Podstatou funkce doplnku pc je to, ze s pocitacem muzete delat co chcete, mazat soubory, preinstalovavat system, ale po rebootu se vse vrati do puvodni podoby. Princip je jednoduchy. Na oddelenem 10 GB harddisku je ulozen image + dulezita uzivatelska data, po rebootu se imagem prepise systemova jednotka. Zaci se tedy mohou snazit znicit pocitac pomoci ruznych viru a utilitek, pc dokonce vypada jako kdyby podlehlo, skodoliby usmev zackuv se po rebootu ztrati. Studenti ziraji jako spadli z visne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LINkeR  |  14. 12. 2005 04:47  | 

Tak to mate asi jedine stastie v tom, ze tam nemate studentov ako sme boli my, teda ktori vyrastli na ZX Spectrum :) Ta 50-rocna babicka sa strasne cudovala co to na tom svojom NT 3.5 ma za bordel, kedze kazdy z nas mal doma RED HAD 4 :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
koffr, koffr  |  14. 12. 2005 12:03  | 

hm, doufam ze te ten tvuj cervenej HAD pokouse

Souhlasím  |  Nesouhlasím  |  Odpovědět
birkof  |  14. 12. 2005 07:40  | 

Live CD linuxu, a máte ve škole po ptákách

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ilfirin, Ilfirin  |  14. 12. 2005 07:48  | 

Jo to jo. A vylikvidují i 10GB image. Mimochodem, zajímalo by mě, co to je za školu, že tam mají sebotéry s viry na disketách, co se snaží zlikvidovat systém.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Raziel-CZ, Raziel-CZ  |  14. 12. 2005 07:55  | 

To se děje ale všude. Studenti bývají prostě takoví...

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 06:54  | 

odhadom 90% skol vlastni aspon jedneho takeho dobraka.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  14. 12. 2005 12:51  | 

A proto je obvykle bootovani z CD zakazano a setup je zaheslovan. To lze pochopitelne prekonat univerzalnim heslem k biosu dane desky, ale to neni az tak caste.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  14. 12. 2005 13:37  | 

tez utilikou cmosopen.com

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  14. 12. 2005 15:01  | 

Hmm a nebude tahle utilitka potrebovat administratorska prava? Tedy pokud to pod dnesnimi windowsy vubec pujde spustit. To vzniklo nekdy v drevni dobe, kdy na 99% PC nebyl zadny system prav a pristup k HW byl z DOSu velmi primy. Nevim, ptam se.

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 06:56  | 

no ani teraz niesu tie prava vo windows dostatocne chranene

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pjotr, Pjotr  |  14. 12. 2005 15:48  | 

Jo a jeste funguje bootovaci CD vytvorene ze stranek www.ntfs.com na shozeni stroje

Souhlasím  |  Nesouhlasím  |  Odpovědět
brambor  |  14. 12. 2005 08:52  | 

to tam mate teda hodne najivni studenty. btw jak to souvisi s clankem ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
spider  |  14. 12. 2005 10:52  | 

Docela by mě zajímalo (taky mám na starosti nějaké učebny ve škole), jak dlouho Vám trvá po rebootu "nainstalování" nového image? (a pro zajímavost, jak velký máte image? A to máte nastaveno, že po každém restartu se najíždí nový image?)

Souhlasím  |  Nesouhlasím  |  Odpovědět
spider  |  14. 12. 2005 10:58  | 

Docela by mě zajímalo (taky mám na starosti nějaké učebny ve škole), jak dlouho Vám trvá po rebootu "nainstalování" nového image? (a pro zajímavost, jak velký máte image? A to máte nastaveno, že po každém restartu se najíždí nový image?)

Souhlasím  |  Nesouhlasím  |  Odpovědět
GeBu, GeBu  |  14. 12. 2005 17:26  | 

To by mě zajímalo taky. Jak to trvá dlouho.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Izak  |  15. 12. 2005 16:46  | 

No GNU partimage da 40GB part se 2-3 GB dat pres sit do 5 minut, komprimace gz LAN 100Mb/s

Je mel neco podbneho v ucebne, akorat inteligentni image byl na 2x linuxech a image se tahal jen v pripade zborceni stroje za asistence admina, image byla na NFS svazku a stacila 1FDD linux distribuce ... soubor byl tgz.

Dnes pouzivam parimage & parimaged a instaluje se pres ne jedna firma tak s 600 PC

Souhlasím  |  Nesouhlasím  |  Odpovědět
poiuy  |  14. 12. 2005 11:04  | 

Tak my kedysi na strednej sme boli šikovnejší. Admin chcel mať možnosť zbaviť sa hier z počítačov, no a jeden spolužiak ich rovno "zakomponoval" do toho image

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  14. 12. 2005 13:44  | 

no me tez trapili na skole, vzdy kdyz jsem prisel k PC chybely tam moje oblibene utilitky a hry. Bud jsem si udelal pomoci Notron Utilities kryptovanou partisnu, ktera bez prislusneho driveru v config.sys nebyla videt, jinak pristup na jednotku vyzadoval heslo. Pote skola zavolala technika, ktery tvrdil, ze na HD je 30 MB bad blocku a pouzil LLF. To me dozralo, tak jsem vse v samorozbalovacich archivech, prejmenovane na neco_neutralniho.ini v systemu Win 3.1 a byl od nich klid. Te Vasi image bych se tez podival na zoubek. Dnes bych to jiz asi resil vlasnim LiveCD (zaheslovanej BIOS neni prekazka).

Souhlasím  |  Nesouhlasím  |  Odpovědět
GeBu, GeBu  |  14. 12. 2005 17:27  | 

Mohl byste to vaše řešení podrobněji popsat? Zajímá mě to.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Honzas  |  14. 12. 2005 07:13  | 

Na to nepotřebuješ speciální software, pokud máš Novell, stačí Zeny, ty se postarají i úplně smazaný počítač. Stačí dosovský klient, abys se dostal na server.

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  14. 12. 2005 21:46  | 

Jaké ženy zase?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  14. 12. 2005 07:58  | 

Ten čip čo sa namontuje do PC  som presne nepochopil ako to bude fungovať..  bude to závislé na OS? Bude to spolupracovať s OS? To je riziko nie?
Osobne si myslím, že ochrana by mala byť mimo OS, a OS by si jej nemal byť vedomý. "...může systém reagovat nějakým varovným hlášením či jinou akcí" - a čo keď rotkit dokáže zabrániť takejto hláške a akýmkoľvek akciám? Proste sa hláška nezobrazí a ide sa ďalej... Asi najrozumnejšia možnosť by bolo, keby užívateľský OS bežal vnútri nejakého bezpečného OS, ktorý by bol kompletne transparentný a dokázal by kontrolovať neporušenosť systémových súborov, zásahy do adresárovej štruktúry "vnútorného" systému a pod.
Inak tu sa pekne ukazuje ako firma MS prispieva k celkovej prosperite IT sektora...

Souhlasím  |  Nesouhlasím  |  Odpovědět
brambor  |  14. 12. 2005 08:48  | 

konecne nejaky komentar k tematu. ja mam mocit ze to cele je z velke casti marketingovy trik. jedine praxe a delsi realne pouzivani to muze proverit, tohle reseni muze zpusobovat radu vedlejsich efektu na ktere se pride pozdeji ale naprava bude slozita vzhledem k tom ze jde o hw reseni. navic jestli ten system bude nejak razantne restriktivne reagovat pri nejakem alarmu na hw urovni pujde to bajecne vyuzit k dosovani .)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Milan  |  14. 12. 2005 09:06  | 

Nic nového, takové čipy byly už v 386, jeden mám doma. Bohužel po objevení
WINDOWS jsem čip musel VYPNOUT, protože tento zk...ý SW různě zapisoval do partition a bootu, kdy ho napadlo a rázem byl čip i s Doylem k ničemu...
Takže pokud používáte MS, tož bych fakt byl velmi opatrný a pokud nepoužíváte MS, tak ten čip asi ani nebudete potřebovat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  14. 12. 2005 13:59  | 

tak jak jsem to pochopil, by to melo byt platformove nezavisle, proste hlida pristup k datove casti pameti na urovni hw. rootkit nemuze (nikdy nerikej nikdy) blokovat alarm, kdyz jeste nema plnou vladu nad OS a tento alarm se spousti nez ktomu dojde.
ocekavam, ze tyto ficury pujdou vypnout v BIOSu.
diky proprietalnim windows s nedostatecnou dokumentaci, se musi nektere treti firmy, ktere pisi napr. ruzne drivery (ne jen k hw, ale treba i virtual cd, natovaci drivery...) uchylovat k praktikam podobnym hackovanim os windows, aby svuj driver mohli provozovat. Takze ocekavam, obcasne plane poplachy od normalnich produktu, ze se jedna o utok rootkitu, ci pripadne spatne fungovani produktu. ztoho duvodu doufam, ze to pujde vypnout. casem jim stejne nekdo prijde na to jak to obejit, takze hlavne se asi bude jednat o marketingovy tah.

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 22:53  | 

a ako zisti kde mam datovu cast pamete? hlavne ked sa semtam prehadzuje na swap alebo pripadne pri defragmentacii volneho priestoru v ram preklada? to su informacie ktore ma procesor v sebe a len pre aktualne beziacu aplykaciu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 20:51  | 

no ked oprasim moje stare asemblerovske vedomosti o intel platforme tak si neviem predstavit jak to HW chcu urobit (rozumna cena a zlozitost). HW nema jak spoznat ci ide o sialeneho programatora (prekrivanie sa stacku, dat a programu) alebo o rootkit. navyse neviem si ani predstavit jak mi to oznami. dokonca jak ten HW mieni zistovat interny stav procesora (nastavenia pointerou, segmentou a ich premapovanie do fyzickeho priestoru)

Souhlasím  |  Nesouhlasím  |  Odpovědět
petr  |  14. 12. 2005 08:13  | 

potreboval bych poradit. na pc mam xp pro a potreboval bych v jednom uctu (neni admin) zakazat modem. proste a jednoduse, aby se dany uzivatel nemohl pripojit na net proste proto, ze neuvidi nebo nebude moct pouzit modem.
u ostatnich uctu bych ale tuto moznost potreboval zachovat. typicky ja (admin-modem), manzelka (uzivatel-modem ) a drzy synator ( uzivatel bez prav - bez modemu). mrska si vzdycky najde cestu jak se pripojit a jedina moznost ktera me napada, je zakazat hw modem.
pokud nekdo vite, budu vam vdecen za radu.dik
 

Souhlasím  |  Nesouhlasím  |  Odpovědět
J  |  14. 12. 2005 09:03  | 

Dat synatorovi par po hube a zatrhnout mu na mesic PC uplne + pripadne nulove kapesne. Ryhle a efektivni.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mem_, Mem_  |  14. 12. 2005 11:39  | 

A nestačilo by mít tajné heslo pro přihlášení k vytáčené lince? A nějakým softem typu Optim Access Dial zakázat změnu telefonních účtů (takže nepůjde vytvořit nový ani změnit číslo)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vraána  |  14. 12. 2005 13:24  | 

Tajný vypínač na kabelu od modemu k zásuvce :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  14. 12. 2005 14:25  | 

To odhali synacek tak za 5 minut.

Souhlasím  |  Nesouhlasím  |  Odpovědět
JaJa  |  14. 12. 2005 14:37  | 

Napad 1) Vytvorte mu (ji) novy HW profil, ktery bude bez toho modemu a tento HW profil udelejte pro uzivatele defaultni.
Napad 2) Jak jiz nekdo pravil prede mnou, zaheslujte pristup na net.

Souhlasím  |  Nesouhlasím  |  Odpovědět
petr  |  15. 12. 2005 07:48  | 

zaheslovat pristup na net ? co je tim presne mysleno ?
kdyz zna telefoni cislo , neni pro nej problem udelat si prihlaseni treba od seznamu, kde je jmeno i helso seznam. a je to.
co jeste bych mel zaheslovat ?
 

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 22:57  | 

zbitocne stracate cas technickym riesenim problemu sposobenim zlou vychovou.

Ja by som to riesil oznamenim o zakaze pristupu na net bez mojho vedomia a oznamenim pripadneho trestu. pri poruseni by som aplykoval trest a boblo by.

Souhlasím  |  Nesouhlasím  |  Odpovědět
pal  |  23. 12. 2005 23:09  | 

No a nemyslíš, že na net by jsi měl mít zkázaný přístup ty popř. manželka? Synátor se vyzná, tak do něho nevrtej. Střihni účet manželce nebo sobě a počet lidí majících přístup na net se nezmění.

Souhlasím  |  Nesouhlasím  |  Odpovědět
mandal, mandal  |  05. 12. 2006 15:19  | 

To že mu to zablokuješ nepomůže - Live CD (Slax) a je to! - jsem taky dítě...

Souhlasím  |  Nesouhlasím  |  Odpovědět
rejce  |  14. 12. 2005 10:01  | 

Co takhle radeji zmenit koncepci woken, odstranit registry a hromadne dll, zakazat aby si kazdej mohl delat, co chce...

Ale to uz tady je, ne? Jen se to nejmenuje Windows

Souhlasím  |  Nesouhlasím  |  Odpovědět
David  |  14. 12. 2005 10:39  | 

Co je na registru tak špatného? Mě to přijde docela dobré. Minimálně ve srovnání se všemi těmi INI a CFG soubory. Aspoň je v tom pořádek, pracuje to s různýmy přístupovými právy, uživatelskými profily nebo s celým komplem a systém nabízí funkce pro zápis a čtení.
 
Máš nějaký lepší koncept?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  14. 12. 2005 11:25  | 

No síce s registrom som nepracoval, ale také konfiguračné súbory sú tiež nie zlá vec:
1. Edituješ hocičím
2. spracovateľné aj diaľkovo (aj pri min rýchlosti linky)
3. sú okomentované + môžeš si dopísať vlastné komentáre, napríklad robíš nejakú zmenu tak si tam môžeš napísať prečo si to robil a čo bola pôvodná hodnota
4. podľa názvu vieš ktorý patrí ku ktorému programu
5. vyhľadávanie v týchto konfigurákoch (napr. potrebuješ nastaviť proxy, tak si dáš hľadať slovo proxy ...)
6. záloha - keď reinštaluješ systém, môžeš si vybrané súbory zálohovať
7. automatizácia - ak vieš trochu pracovať zo sed, grep a pod. tak niekedy sa s tým dajú robiť veľmi šikovné veci, prípadne ak spravuješ sieť môžeš moniť konfiguráky hromadne..., prípadne raz nastavený konfigurák nakopírovať na viacej PC
8. oddelenie systémových nastavení a uživateľských. Systémové v jednom adresári (povedzme etc), úživateľove v jeho adresári.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Max  |  14. 12. 2005 14:14  | 

ad 1. nevim, jestli tohle je vyhoda, ale budiz
ad 2. registry se take daji zpracovavat na dalku (napr. sluzba Remote Registry)
ad 3. to je dobra vec, tohle v registry neni, ale to je jasne z koncepce
ad 4. to je pravda, ale podle nazvu vetve/klice v registry to lze poznat taky (pokud to neni prasacky navrzeno)
ad 5. vyhledavat v registry lze samozrejme taky
ad 6. zalohovat registry lze samozrejme taky (cele nebo jednotlive vetve/klice)
ad 7. prace s registry se da naskriptovat, z cehoz vyplyva moznost urcite miry automatizace a pouziti dalsich nastroju, krome toho je mozne si vytvorit optimalizovany nastroj s vyuzitim winapi, ktere funkce pro praci s registry ma, nastroje na distribuci casti registy jsou take
ad 8. takhle jsou registry oddelene taky (HKLM vs. HKU)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  14. 12. 2005 14:28  | 

Vsechno co jste popsal NEJAK jde. Ale prave to JAK je ten rozdil. Tohle vsechno se v registrech dela mnohem sloziteji s mnohem vetsi narocnosti na znalosti administratora a cele registry jsou mnohem nachylenji k problemum vseho druhu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bady, Bady  |  14. 12. 2005 15:24  | 

nechci se vam montovat do diskuze , ale remote registry service je dle meho hodne nebezpecna vec, protoze kdejaka lama pracuje na woknech s admin userem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
J  |  14. 12. 2005 13:24  | 

Je videt, ze si nikdy naborenej registr nespravoval. Textovy soubory jsou nejlepsi zname reseni, co sw, to jeden soubor/adresar s globalni konfiguraci + dalsi v uzivatelskem adresari pro lokalni upravu uzivatelem.

Milionkrat lepsi nez bordel zvanej registr, ve kterym nikdy nic nenajdes, neni to poradne zdokumentovany, kazdej SW si tam napraska bordel vsude mozne ... . Viz predchozi, proste neni nad okomentovanej konfigurak, v kterym se vyzna kazdej a hlavne i za 1/2 roku vim, proc sem neco menil. Pri nove verzi SW se akorat pusti diff vuci novemu defaultu, zkouknu to, vyberu co chci zachovat a patchnu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
a.l.f., a.l.f.  |  14. 12. 2005 15:40  | 

Vsak taky programy v .NETu uz mame konfiguraky ulozeny v v samostatnych souborech.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  14. 12. 2005 14:17  | 

registr je silena vec.
- kdejaky soft si do nej zapisuje dle libosti
- spatne napsany soft muze poskodit cely regisrt = reinstall os
- vypadek proudu, vytuhnuti, mozne poskozeni, ztrata clusteru = poskozeny registr = reinstall = os
- registr se neustale nafukuje
- prase aby se vnem vyznalo, nedostatecna dokumentace
- regisrt = achylovka windows

lepsi koncept = adresar /etc (maji ho i windowsy)
- lehce se da rozeznat, jake konfiguraky, od ktereho softu
- dobra dokumetace, vlastni kometare
- poskozeni jdnoho konfiguracniho souboru, neznamena ze nenabehne os, proste zhavaruje dana sluzba
- snadna prenositelnost konfigurace na jine stroje
- centralni konfigurace na serveru, ze ktereho si jej ctou ws v siti (treba pres NFS)
- snadne zalohovani konfigurace (a ti lze zautomatizovat v urcitych intervalech), v pripade poskozeni hd se jen nainstaluje city os, vrati /etc ze zalohy + zaloha uzivatelskeho profilu v home adresari uzivatele a za hodinu jiz muzete pracovat kde jste prestali.
- samzrejme se resi prava kdo smi dany konfig cist/modifikovat
- snadne vyhledavani v konfigach

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jeden Niekto  |  14. 12. 2005 19:35  | 

neviem čo trepete!
... dá sa vysporiadať s poškodenými (/prepísanými) configmi UNIXu inak ako zálohovaním - asi nie (detto Windows)
... dajú sa oba spravovať na diaľku - v závislosti na konfigurácii hej (detto nutnosť "niečo" otvoriť)
... dajú sa robiť poznámky - v UNIXe poznámkovým znakom, vo WIN nepoužívaným kľúčom (stačí použíť HLAVU!)
... ľahká prenositeľnosť - v UNIXe cp, vo Win export/import alebo UN/LOAD hive
... v princípe dá sa aj centralizovať - ak sa vieš SPOĽAHNÚŤ na sieť (to by som nerobil), cez LOAD/UNLOAD hive
... samozrejmé zálohovanie cez ntBackup, nastaveni prístupu cez permissions, ľahké hľadanie ...
v čom je teda rozdiel?
1) používaj čo vieš!
2) zopár súborov REG v %systemRoot%\system32\config, niekoľko podadresárov /ETC (a ďalšie prídavné miesta )
... iba ABSOLÚTNY ... (doplň vlasntú nadávku navyššej miery) je schopný šmahom ruky "odsúdiť" iný systém iba preto že ho nevie/nepoužíva ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  14. 12. 2005 21:55  | 

Ano, všechno jde. Ale když vidím před sebou rozumně zdokumentovaný konfigurák, zorientuju se v něm za pár okamžiků. Nepoužívané klíče jsou z nouze ctnost, přehlednosti textového konfiguráku nikdy ve struktuře registrů nedosáhneš. A co se týče poškozených / přepsaných konfiguráků, řešení je víc. Například otevřít si default a upravit si ho s využitím těch komentářů. Kromě toho mám pocit, že většina kritiků, ne-li všichni, zná registry poměrně intimně, to jsi trochu ujel.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jeden Niekto  |  15. 12. 2005 11:11  | 

nuž .. priznávam - lezú mi na nervy Tí, čo chcú vidieť iba klady (alebo zápory) a nevidia druhú stranu
.. za to som ochotný sa ospravedlniť
ale problém ostáva:
AD výpadok .INI súboru (to už WIN mali, ale upustilo sa od nich)
nakopíruješ prednastavený (default) alebo použiješ zálohu; neviem sa zbaviť dojmu, že to isté vieš spraviť aj vo Win
AD dokumentácia
(prečo vôbec chceš dokumentovať zapojenie motora - to je predsa v knižke, NIE?) alebo "pomocné" kľúče alebo ADM šablóna GPO
... takže ešte raz: čo IDE spraviť v *XE a NEJDE vo WIN? Systémy nie sú až také odlišné, záleží od uhla pohľadu; mne osobne na /ETC vadí, že NEVIEM, kde konkrétny program má aké nastavenia - podobne ako to TY (často) nevieš vo WIN; pre oba systémy pritom sú dostupné GUI nástroje robiace v nich zmeny (nepotrebuješ ich, ak sa NAUČÍŠ čo kde je, alebo spravíš GPO ADM)
... asi jednou podstatnou výhodou REG je že sú rýchlejšie, presnejšie (ľahšie zistíš poškodenie) - ale aj to je dvojsečná zbraň

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 23:06  | 

ad to ze nevies kde dany unix konfigurak je. mi co mame spetku rozumu a neverime si ze sme majstri sveta pouzivame "man" kde to najdem pripadne inu dokumentaciu na systeme. pri najhorsom vecsina unixou ma nejaky system spravy programou a ten ti to vie tiez povedat. narozdiel od win kde pokial niesu rozumne napisane nazvy ciest ku klucom si v prdely.

ad podstatna vyhoda. rychlejsie a presnejsie: fakt si ma pobavil najrychlejsie su zo zasady binarne konfiguraky ale ich citlivost na poskodenie a necitelnost je obrovska. ad zistenie poskodenia: racej zabijem 2h opravou textoveho konfiguraku jak par dni preinstalovanim celych windows pre padnute registre. ale komu sa co paci nech pouziva.

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  14. 12. 2005 21:57  | 

No ale je fakt, že textový konfigurák je méně vhodný k modifikaci klikacími programy, to se musí nechat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 23:13  | 

to je blbost. je to viacmenej jedno a pokial chces usetrit cas a pouzit nejake API tak nieje nic jednoduchsie ako pouzit XML je to citatelne i ludom, editovatelne vo vsetkom a vysledna struktura je stromova jak napriklad v registroch.

alebo napriklad pouzit vhodne nazvoslovie: hlavnemeno.submeno.submeno2.premenna=value
a si tam kde predtim. akurat pri zmene zaznamou bud generujes cely konfig ozdaciaku alebo zmenis uz definovane data a zbitok pripises na koniec. vecsinou sa robi varianta1

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Baláš  |  14. 12. 2005 22:06  | 

V UNIXu se obvykle poškodí JEDEN ini soubor, jeden program neběži ale jinak vše funguje. Při nabořené registry (pokud to není HKCU) nenabootujete. Toto už jsem řešil jak na Win (nakopnuté HKLM) tak na Linuxu (nakopnutý disk, cca stovka souborů se nepodařilo zkopírovat). Hádejte kde byla snazší obnova ...
Ale hlavní problém je v tom, že konfugurace jednoho programu je na UNIXu jeden soubor nebo adresář (resp. dva - jdenou globální v /etc a podruhé lokální u uživatele) tak jeden program pod Win obvykle je rozlezlý po celé Registry. Ukažte mi, jak zazálohujete všechny klíče v Registry náležející např. k MS Office. Nejde to že? Že on ani nikde neexistuje seznam míst, kam se ten Office všude nacpal že?
BTW to že .Net aplikace NEpoužívají Registry možná bude mít nějaký ten dobrý důvod.
BTW2 ještě k poznámkám - obvyklý UNIX konfigurák je hustě komentovaný (t.j. nemusím hledat dokumentaci, vše je na místě okomentováno). V Registry jsem poznámku ještě nepotkal. Občas to jde kreatvně obejít (i když zkuste ten svůj postup např. v Run větvi ...) ale prostě to není ono.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jeden Niekto  |  15. 12. 2005 11:20  | 

ešte raz: všetko je podvod - aj mlieko je voda!
nevidím podstatný rozdiel; každý systém sa treba naučiť a potom Tvoja práca má zmysel...

spadnutý LIN si rozbehol s náhradným INI alebo zo záložného CD; dtto WIN
Office vraj má "rozlezené" nastavenia - ale to platí o ľubovoľnom "zlom" programe v LIN; stačí sa naučiť, kam zaliezť (a sme zase na začiatku )
... takže: učiť sa, učiť sa, učiť sa ... (áno, týmto uznávam: že hľadanie rýchlejšie beží vo WIN, ale na LIN môžeš použiť aj textový editor; že v LIN máš vlastný INI, zatiaľ čo WIN máš všetko v zopár súboroch adresára %config% a sú omnoho menšie; že ...)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ander, Ander  |  14. 12. 2005 10:21  | 

Vubec bych se nedivil, kdyby si ten clanek autor vycucal z prstu(chybi odkaz na zdroj, resp. jakykoli odkaz). Nedokazi si predstavit neco jako hardwarovy antivir. Znamenalo by to prekopat architekturu PC. A bylo by to nechutne slozite(=>drahe + pomale), coz uz jsou odporuje hromadnemu rozsireni cehokoli. A navic, zadny hardware nemuze suplovat kiksy, kterych se dopusti navrhari operacniho systemu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Indian  |  14. 12. 2005 10:25  | 

http://screwdriver.felk.cvut.cz/blog/wp-content/socialistickyclanokopcawindowszroku1986.pdf

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal  |  14. 12. 2005 10:44  | 

Je jasne, ze PC budoucnosti bude umoznovat jen to, co schvali nejaky hodny pan urednik, firma ci jiny Big Brother. Takze nas ceka DRM a vubec vse na urovni hw ... Pekna vize ;)

Souhlasím  |  Nesouhlasím  |  Odpovědět
t  |  14. 12. 2005 15:36  | 

"nejaky hodny pan urednik, firma ci jiny Big Brother"
Ve firemnim pocitaci to bude vzdy zamestnavatel a  ten se na to jiz tezsi - ma totiz na to plne pravo. Na soustruhu si take zamestnanec nemuze vyrabet soucastky pro svou potrebu a to ani z vlastniho materialu....
V soukromem PC to bude vec v ramci uctu administratora jake prava povoli.....

Souhlasím  |  Nesouhlasím  |  Odpovědět
tom  |  14. 12. 2005 14:08  | 

Doufam ze pujdou koupit desky i bez tohoto "vylepseni". Neni lepsi pouzivat bezpecnejsi a lepsi OS nez vymyslet takove nahrazky?
Nechapu proc bych se mel skrabat levou nohou za pravym uchem?
Chteji vydelat penize na neznalich lidech.

Souhlasím  |  Nesouhlasím  |  Odpovědět
vpar  |  14. 12. 2005 15:17  | 

Rootkity jsou i na Linuxech, ale jsou to nástroje jenom pro zkušené hackery, nejde to kvůli rozdílnosti jednotlivých distribucí/konfigurací zautomatizovat, největší problém je totiž získání roota, případně opuštění chroot klece , aby byl insmod, aby se ten modul do jádra nahrál. Pak musí dávat pozor na kompaktní jádra bez modulů, protože tam se rootkit dává velice obtížně...

Souhlasím  |  Nesouhlasím  |  Odpovědět
zz  |  15. 12. 2005 23:21  | 

prepac ale blbost.

najjednoduchsi rootkit su prekompilovane systemove binarky (top,ps,ls,netstat tie na vecsiu cast zakrivania stacia) tymi prepises povodne a mas vybavene (top a ps neukazuju tvoje procesy, LS tvoje subory, netstat tvoje konexie)

moduli do jadra a zapis do jadrovej casti sa robi preto ze tieto programi niesu ako procesy (neodhali ta kuknutie do /proc a porovnanie z vypisom ps) a po restarte je pocitac "cisty" takze sa nic nenajdena disku. vyuziva sa toho ze unixove stroje maju povecsinou dlhy uptime (nedavno sme tocili jednu masinu po update ktora mala vyse 600dni uptime)

Souhlasím  |  Nesouhlasím  |  Odpovědět
space.pussy  |  16. 12. 2005 02:31  | 

to je urcite pravda. avsak na vacsine systemov, kde si na bezpecnost davaju aspon trosku pozor, si uz s niecim takymto moc nepomozete, pretoze ad 1: tripwire a obdobne programy taku zmenu lahko zistia. a ano, ak ma clovek roota, moze tripwire databazu upravit, to uz ale nie je tak uplne trivialna zalezitost, obzvlast, ked je jej zaloha ulozena na nejakom stroji, kam nema "hacker" pristup.

ad 2: ak admin pouzije nejaku inu monitorovaciu utilitu, ktora priamo vola fcie jadra, beziaci proces / sietove spojenie / skryte subory uvidi...

samozrejme suhlasim, ze rootkit nemusi byt vo svojej podstate LKM. vo vacsine pripadov to ale ten pripad je.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas Kubes  |  14. 12. 2005 16:41  | 

Já mám takový pocit, že rootkit není v žádném případě synonymum pro virus, ale pro něco, co se na Unixech nazývá modul jádra (či jak to přeložit "kernel module") a mohou to být i docela užitečné kousky sw.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  14. 12. 2005 23:42  | 

To, že by rootkit == modul jádra se mi teda vůbec nezdá (pěkná blbost).
Google ví více.

Souhlasím  |  Nesouhlasím  |  Odpovědět
bobr  |  15. 12. 2005 00:32  | 

Souhlasím  |  Nesouhlasím  |  Odpovědět
Izak  |  15. 12. 2005 20:20  | 

Takze vazeni intel je banda debilu, protoze nemoznost nastavit NON EXETUTABLE STACK je prasarna 1 radu.
Tohle se tahne uz kupu let, a AMD konecne !!!! U AMD64 teno pristup zmenilo, pak okopcil i intel (AMD to taktez okopcilo, skoupili lidi s ALPHy (kde je tahle feature odjakziva))

Tohle co zde prezentujete je prasarna 2. radu, jedine co chci od CPU je aby delal svou praci a mel minimum chyb, pak chci NonExetutableStack ..... a zbytek si zaridim SAM KURNA SAM a nikdo se mi do toho nebude srat, natoz jeste HW, ja mam problemu se softem dost a o chytry HW ktery vi vsechno nejlip NESTOJIM !!!!!

Jinak tohle je naslap na DRM, kde mi HW bude zhazovat napr linux .... dekuji nechci, mili intele, ja vim ze mas M$ rad a ze te stve ze AMD pece s lidmi z Unixu (digital, SGI-MIPS) a Linux, ze spozoruje GCC a linux a ze AMD beha pod linuxm rychleji, ale tenhel CPU si fakt nekoupim a jako ze dnes mi nevadi ze mam nekde Xenon, P4, PIII ... tak tenhle CPU mi teda vadit bude a vzadnem pripade jej chtit nebudu, protoze to dopadne jako intel sitovka v chipsetu ... krizeny kable 2x linux cat /dev/zero | netcat .... a HW tuhy .... tak s toho uz jsem vyrostl.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky