甚至有可能吗?假设我感染了病毒,所以我摆脱了硬盘驱动器并安装了新的硬盘驱动器。病毒仍可以在我的PC上吗?
#1 楼
很多地方:BIOS / UEFI-BlackHat演示(PDF)
系统管理模式(SMM)或英特尔管理引擎(IME)-Phrack文章。
GPU-GitHub上的概念证明rootkit。
网卡-Recon 2011演示文稿(PDF)
核心探秘(PDF)-一个不错的演示文稿,涵盖从BIOS到SMM到微代码。
现代硬件具有广泛的持久数据存储区,通常用于固件。运送诸如GPU或网卡之类的复杂设备并将固件放在无法更新的掩模ROM上,然后发生故障,会引起大规模召回,这太昂贵了。因此,您需要两件事:该固件的可写位置,以及将新固件放置到位的方法。这意味着操作系统软件必须能够写入固件在硬件中存储的位置(通常是EEPROM)。
一个很好的例子是现代BIOS / UEFI更新实用程序的状态。您可以获取UEFI映像和在操作系统(例如Windows)上运行的可执行文件,单击按钮,然后UEFI更新。简单!如果您反向工程这些工作的方式(我已经做过几次),通常是内核模式驱动程序被加载的情况,该驱动程序从给定的UEFI映像中获取页面数据,并使用
out
指令直接与UEFI芯片通信,发送正确的命令来解锁闪存并开始更新过程。当然有一些保护措施。除非供应商签名,否则大多数BIOS / UEFI映像都不会加载。当然,足够高级的攻击者可能只是从供应商那里窃取了签名密钥,但这已被用于阴谋论和类似上帝的威胁行为者,几乎在任何情况下都无法与之抗衡。 IME之类的管理引擎本来具有某些保护措施,即使通过ring0代码也无法访问其内存部分,但研究表明,那里存在许多错误和许多弱点。
因此,一切都搞砸了吧?好吧,是的,不是。可以将rootkit放在硬件中,但这也非常困难。每台计算机的硬件和固件版本都有很大差异,因此无法针对大多数情况构建通用的rootkit。您不能只获得通用的华硕BIOS并将其闪存到任何主板上;你会杀了它。您需要为每种单独的板类型创建一个rootkit,有时会降低到正确的修订范围。这也是一个涉及大量跨域知识的安全领域,深入到现代计算平台的硬件和低层操作方面,再加上强大的安全性和加密知识,因此没有多少人能干。 />
您是否有可能成为目标?否。
您是否有可能感染BIOS / UEFI / SMM / GPU / NIC驻留的rootkit?否。
所涉及的复杂性和差异性对于普通用户来说实在是太过现实了,不必担心它。即使从经济角度来看,这些东西也需要花费大量的技巧,精力和金钱来构建,因此将它们烧毁为消费者恶意软件是愚蠢的。这些威胁的针对性很强,以至于它们只真正属于民族国家威胁模型。
评论
不要忘记最简单的情况:闪存驱动器。如果USB记忆棒引起了感染,它将很高兴再次感染新的HDD。
–贝尔吉
16-4-21在11:56
@Bergi我提出了一个问题,要完全排除传统的大容量存储介质,但是是的,这是事实。您也可以在该类别中包括智能手机。
–多项式
16年4月21日在12:03
确实取决于“您”代表什么。像您和我这样的低级用户?当然不。高级别记者报道有争议的话题?答案更加复杂。 Beeing小心翼翼永远不会伤害任何人...
– Mxsky
16-4-21在14:24
请注意,后来也发现了像感染伊朗核电站的恶意软件那样的恶意软件,它们感染了德国的发电厂和普通民众的笔记本电脑。这就是设计用来感染安全安装的恶意软件的原因:按照定义,它必须尽可能地努力。由于这类恶意软件是针对特定硬件(在这种情况下为西门子制造的设备)设计的,因此不太可能损坏您的PC。但是,仅仅因为您没有被故意作为目标并不意味着您的PC就不会受到感染。
– slebetman
16-4-22的3:43
@ViktorToth是的,但是当我们谈论风险建模时,这一点无关紧要。它并不是那么模糊,因为它限制了恶意软件在很小的生态系统中的适用性,除非有针对性,否则它不值得攻击者付出努力。攻击经济学是威胁模型的重要组成部分。
–多项式
16年4月22日在15:09
#2 楼
问题的简短答案是肯定的。以下是一些可以隐藏病毒的地方:
在键盘,鼠标,网络摄像头,扬声器等。基本上所有您连接到计算机的,具有可写固件的计算机。
硬盘驱动器上的固件。有点在您的硬盘上,但仍然可以重新格式化。 NSA可能是这种情况的怀疑者。
在您的BIOS或UEFI中。
在过去,引导软盘的扇区。这在早期病毒中是标准的,因为当时软盘经常被用作主存储。现在,USB记忆棒也是如此。
病毒可以将任何可写数据视为可执行代码的目标。在计算机上,基本上是任何地方。但是,要使其在重新启动后仍能生存,就必须是某种持久性存储。因此,CPU缓存可能不是隐藏的最佳位置。
大多数病毒都不会这样做,而只是驻留在HDD上。这是因为病毒编写者(在理性上)是懒惰的。当有很多低挂的水果时,为什么要选择复杂的选择?
评论
是的,我忘记了答案中的硬盘固件。特拉维斯·古德斯提普(Travis Goodspeed)不久前就此作了一次有趣的演讲,制作了一个取证盘。这个想法是普通的OS读/写和ATA命令模式非常独特,但是写阻止程序,取证软件和克隆程序(例如dd)发送的模式完全不同,因此可以很容易地在对磁盘进行取证分析时发现。然后,磁盘将反复擦写Rick Astley的《 Never Gonna Give You Up》的歌词来擦除自身。
–多项式
16年4月21日在13:28
@Polynomial那算作Rickroll吗?
– JAB
16年4月21日在17:53
确实与固件有关。包括打印机
– prusswan
16年4月23日在12:43
@forest-前段时间对Mac键盘固件进行了可靠的攻击,认为它是在Hackaday上编写的。虽然没有理由认为它们是独特的。如今,所有东西都内置了微型计算机,因为它只比在硬件中构建功能便宜,而且功能强大(因此可被有效感染)的微型计算机现在是如此便宜。
– John U
16年4月25日在10:36
zdnet.com/article/…和Instructionsables.com/id/USB-Mouse-Flash-Drive-Hack
–TecBrat
16年4月26日在18:02
#3 楼
最常见但未经检查的地方之一是...带有“嵌入式驱动器磁盘”的外围设备,例如许多3G / 4G USB记忆棒。从技术上讲,它们内部有一个集线器,以及一个通用存储+设备本身。升级固件通常会升级安装到通用存储部分的磁盘映像。它是常规使用中的PC只读文件,但是很容易将其重新映射为具有自动播放功能的CD-ROM。我在2006-2008年经历过的那场比赛是为一家本地蜂窝电话提供商提供的4G记忆棒。它包含CD-ROM,例如可从本地销售点直接使用的存储设备,包括自动播放和torjan =)下一个固件补丁-并将存储设备重新映射回HDD,并且板上没有病毒。评论
我本以为“自动运行”到现在将被永久禁用
– Xen2050
16年4月22日在7:45
@ Xen2050系好安全带:当我从Windows 7升级到10时,在win7中自动运行被禁用。在win10中,安装程序再次启用了它,同时迁移了我所有的设置
–阿列克谢·韦斯宁(Alexey Vesnin)
16年4月22日在14:23
#4 楼
任何类型的存储的主要问题是系统必须愿意执行恶意软件。在操作系统启动期间,这意味着它必须作为硬盘上的可执行文件,DLL,驱动程序或类似文件存在。它不一定要完全放在那儿,也就是说,它可以是一个很小的可加载的东西,其余的可以驻留在其他地方(甚至在网络中)。但是也可以在操作系统执行之前加载恶意软件。操作系统的加载受BIOS或UEFI的控制,因此,如果此阶段已包含恶意软件,则该恶意软件不在操作系统的控制范围内。例如,请参阅Hacking Team的恶意软件使用UEFI Rootkit幸免于重新安装操作系统。
此外,网卡,图形卡,硬盘等上都有固件,并且通常可以更换这些固件。 。因此,某些恶意软件也可能会藏在那里,并改变系统的行为,请参阅NSA的固件黑客如何工作以及为何如此令人不安。
#5 楼
当我阅读问题时,想到的事情超出了给出的示例的范围。除了在硬盘驱动器上,甚至在计算机上,还可以在其他地方存储病毒。其中有两个地方是细菌(特别是大肠杆菌)和您的DNA。根据cerca 2010进行的一些研究表明,大肠杆菌不仅可以存储数据(或病毒),而且可以存储数据(或病毒)。还提供生物加密。
http://www.popsci.com/science/article/2011-01/biostorage-scheme-turns-e-coli-bacteria-data-storing-硬盘驱动器
最近,科学家发现,它们可以在1克DNA中存储多达700TB的数据。好处是,如果正确存储,则可以长期存储。
http://www.extremetech.com/extreme/134672-harvard-cracks-dna-storage-crams-700-terabytes-of-data-into-a-single-克
因此,随着科技行业越来越接近整合技术和我们的生物学,他们可能不得不放眼于不仅仅是我们的硬盘,BIOS,内存,GPU等。
评论
这里有几个可能有趣的链接。 extremetech.com/extreme/…io9.gizmodo.com/5699767/…
–乔什
16-4-21在22:25
哦,快点,没想到。
–约瑟夫
16年4月21日在22:25
有趣的是,但是现在,它并不是一个真正可行的存储计算机病毒的地方,它会重新感染新的操作系统(令人遗憾的是,讨厌不得不物理清洁主板以及安装“清洁操作系统”)
– Xen2050
16-4-22的7:41
如果您将计算机病毒存储为实际病毒,我们都将成为病毒的携带者!
–蓬松
16-4-23的1:42
#6 楼
除了一个出色的多项式答案外,还有其他更多选择:很显然,网络上的另一台设备(例如,另一台计算机感染了samba共享,路由器在其网页上添加了漏洞利用程序。)。 ..)USB设备(例如闪存盘)秘密地换成键盘并将恶意软件键入/下载到主机计算机
#7 楼
不确定计算机的其他部分是否被病毒使用,但是很久以前就遇到了BADBIOS坏的BIOS会做什么?
Radio (SDR) program code, even with all wireless hardware removed.
It is said to infect the firmware on USB sticks.
It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.
除了上述病毒外,它不仅攻击计算机,还提供了许多类型的Rootkit,如PCI Rootkit。
总的来说,该病毒可以驻留在BIOS或任何来源,但需要执行某些步骤。
问题后编辑:
根据问题,是的,有病毒可能会转移到您的新硬盘上的可能性,例如考虑像水母这样的rootkit,但值得注意的是,这种情况对于普通的最终用户来说很少见
评论
“据说它会使用受感染设备上的扬声器传播到新的受害计算机上,从而与未受感染设备上的麦克风对话。” ,等等什么?通过声波?
– ivan_bilan
16-4-21在9:22
@ivan_bilan这里需要注意一件事,这是理论上得出的可能性,经过验证的方法描述了它的完成方式,但是这种rootkit,病毒,间谍软件在最终用户中非常少见且罕见,因此无需担心关于该blog.erratasec.com/2013/10/…看看这里,那里有很多详细的答案
– BlueBerry-Vignesh4303
16-4-21在9:24
您链接到的sophos文章暗示badBIOS可能是一个骗局,因为它仅影响了报道该事件的人Dragos Ruiu,没有人重复他的发现。
–浏览
16年4月21日在15:32
@ivan_bilan jocm.us/uploadfile/2013/1125/20131125103803901.pdf
– JAB
16年4月21日在17:54
大量的“据说”只需要一个人就能融合无数的高级功能。有没有经过验证?我非常怀疑,并且倾向于相信这只是一个怪诞的骗局或虚构的情节。阅读其他主题表明这是一顶旧帽子,在这一切的解释中我并不孤单。
– underscore_d
16-4-24在15:55
#8 楼
答案是肯定的,它们不仅可以隐藏在硬盘中,而且可以隐藏在您连接到PC的其他存储设备中的许多其他位置。早期,我在Microsoft Windows中经常遇到CD / DVD“自动运行”选项的问题。病毒能够自动在刻录介质中创建“ Autorun.inf”,并在我将受影响的ROM插入阅读器时用于自动运行并感染新PC。
病毒用于自动感染USB闪存并自行传播如果将闪存驱动器插入未感染的系统。
这是两个主要领域,您必须将主要精力放在这两个领域。
如果您已成功从硬盘中删除了病毒,别忘了在以下位置检查Windows注册表:(相信我,通过从以下位置删除未知条目已禁用了许多正在执行的病毒文件);
运行“ regedit”以打开Windows注册表编辑器,并导航至以下两个位置检查可疑的注册表项!!
HKEY_CURRENT_USER:软件:Microsoft:Windows:CurrentVersion:运行
HKEY_LOCAL_MACHINE:软件:Microsoft:Windows:CurrentVersion:运行
评论
我认为,如果硬盘驱动器被删除,则操作系统(以及所有注册表项)将不复存在。
– schroeder♦
16年4月21日在18:53
#9 楼
如果您使用的定制CPU是基于哈佛架构的设计,则病毒可以注入存储指令代码的ROM,但是以这种方式更改ROM值是非常困难的过程。仍然是注射#10 楼
在一张纸上,然后在键盘上输入(或OCRed?)。最明显的是EICAR测试病毒签名:
“ X5O!P%@ AP [4 \ PZX54(P ^)7CC)7} $ EICAR“
” -STANDARD-ANTIVIRUS-TEST-FILE!$ H + H *“
如果将两个字符串连接在一起并另存为可执行文件(a MSDOS或32位Windows平台上的“ .com”文件),则任何自重的防病毒程序都应像对待病毒一样对待它。请注意,可以使用普通香草“键盘”生成的字符来输入此字符。
评论
以EICAR为例有何明显之处?所有恶意软件都是需要编译或解释的代码。我对为什么EICAR是一个例子感到完全困惑。仅仅是因为它对于普通人来说足够短吗?
– schroeder♦
16-4-22在17:40
我也不确定是否根据问题将打印出来算作“隐藏”。
– schroeder♦
16-4-22在17:41
那不是病毒。它只是AV程序的测试字符串。该文件无法复制,执行或执行病毒或恶意软件所做的任何事情。
–尼尔·史密斯汀(Neil Smithline)
16年4月28日在16:18
#11 楼
每次重新启动PC时,都会重置它的CPU缓存。您也只能在硬盘或任何可移动外围设备上写评论
但是可以将其重新配置为不通过某些BIOS黑客重置吗?
– ivan_bilan
16年4月21日在9:10
它不是由BIOS管理的CPU缓存。 BIOS,它只是一个基本的I / O系统
– Cricco95
16年4月21日在9:12
CPU缓存只是快速的RAM。重新启动CPU后,它无法持续。
–user1751825
16-4-21在9:15
BIOS肯定可以由OS写入,尤其是在UEFI中。您认为userland更新工具如何工作?
–多项式
16年4月21日在9:25
尽管您的答案引起了有趣的评论聊天,但afaik并不是对原始问题的答案。
–peterh-恢复莫妮卡
16年4月26日在15:03
评论
软盘-我记得必须在我的Amiga上处理软盘上的病毒,而且甚至没有硬盘。同样适用于其他可移动媒体,例如USB记忆棒,当插入计算机时可以自动运行代码。甚至CD-ROM之类的只读介质也可能带有病毒。有点抽象,但是我曾经在虚拟Windows机器中感染过病毒,并且可以访问我的真实硬盘。不直接是您的要求,因此发表评论。
几年前,我的主板上有一种病毒(至少我是这样认为的,因为我无法用其他任何方法来解释它)。就像2008年,我的电脑表现异常。很多随机文件遍布我的所有文件夹。然后1或2重新引导,则阻止了从该HDD引导。我也无法在该HDD上重新安装Windows。所以我买了一个新的硬盘,拔掉了旧的硬盘并安装了窗户。已安装的驱动程序(到目前为止尚未连接互联网)已重新启动.....在出厂新硬盘上写入的文件相同。再重启1次,我也无法使用它。我买了一台新电脑。
有人应该为Mercury延迟线写病毒
有点相关:security.stackexchange.com/q/111156/91904