可以将计算机病毒存储在硬盘驱动器之外的其他位置吗？

#1 楼

很多地方：


BIOS / UEFI-BlackHat演示（PDF）
系统管理模式（SMM）或英特尔管理引擎（IME）-Phrack文章。
GPU-GitHub上的概念证明rootkit。
网卡-Recon 2011演示文稿（PDF）

核心探秘（PDF）-一个不错的演示文稿，涵盖从BIOS到SMM到微代码。

现代硬件具有广泛的持久数据存储区，通常用于固件。运送诸如GPU或网卡之类的复杂设备并将固件放在无法更新的掩模ROM上，然后发生故障，会引起大规模召回，这太昂贵了。因此，您需要两件事：该固件的可写位置，以及将新固件放置到位的方法。这意味着操作系统软件必须能够写入固件在硬件中存储的位置（通常是EEPROM）。

一个很好的例子是现代BIOS / UEFI更新实用程序的状态。您可以获取UEFI映像和在操作系统（例如Windows）上运行的可执行文件，单击按钮，然后UEFI更新。简单！如果您反向工程这些工作的方式（我已经做过几次），通常是内核模式驱动程序被加载的情况，该驱动程序从给定的UEFI映像中获取页面数据，并使用out指令直接与UEFI芯片通信，发送正确的命令来解锁闪存并开始更新过程。

当然有一些保护措施。除非供应商签名，否则大多数BIOS / UEFI映像都不会加载。当然，足够高级的攻击者可能只是从供应商那里窃取了签名密钥，但这已被用于阴谋论和类似上帝的威胁行为者，几乎在任何情况下都无法与之抗衡。 IME之类的管理引擎本来具有某些保护措施，即使通过ring0代码也无法访问其内存部分，但研究表明，那里存在许多错误和许多弱点。

因此，一切都搞砸了吧？好吧，是的，不是。可以将rootkit放在硬件中，但这也非常困难。每台计算机的硬件和固件版本都有很大差异，因此无法针对大多数情况构建通用的rootkit。您不能只获得通用的华硕BIOS并将其闪存到任何主板上；你会杀了它。您需要为每种单独的板类型创建一个rootkit，有时会降低到正确的修订范围。这也是一个涉及大量跨域知识的安全领域，深入到现代计算平台的硬件和低层操作方面，再加上强大的安全性和加密知识，因此没有多少人能干。 />
您是否有可能成为目标？否。

您是否有可能感染BIOS / UEFI / SMM / GPU / NIC驻留的rootkit？否。

所涉及的复杂性和差异性对于普通用户来说实在是太过现实了，不必担心它。即使从经济角度来看，这些东西也需要花费大量的技巧，精力和金钱来构建，因此将它们烧毁为消费者恶意软件是愚蠢的。这些威胁的针对性很强，以至于它们只真正属于民族国家威胁模型。

#2 楼

问题的简短答案是肯定的。

以下是一些可以隐藏病毒的地方：


在键盘，鼠标，网络摄像头，扬声器等。基本上所有您连接到计算机的，具有可写固件的计算机。
硬盘驱动器上的固件。有点在您的硬盘上，但仍然可以重新格式化。 NSA可能是这种情况的怀疑者。
在您的BIOS或UEFI中。
在过去，引导软盘的扇区。这在早期病毒中是标准的，因为当时软盘经常被用作主存储。现在，USB记忆棒也是如此。

病毒可以将任何可写数据视为可执行代码的目标。在计算机上，基本上是任何地方。但是，要使其在重新启动后仍能生存，就必须是某种持久性存储。因此，CPU缓存可能不是隐藏的最佳位置。

大多数病毒都不会这样做，而只是驻留在HDD上。这是因为病毒编写者（在理性上）是懒惰的。当有很多低挂的水果时，为什么要选择复杂的选择？

#3 楼

最常见但未经检查的地方之一是...带有“嵌入式驱动器磁盘”的外围设备，例如许多3G / 4G USB记忆棒。从技术上讲，它们内部有一个集线器，以及一个通用存储+设备本身。升级固件通常会升级安装到通用存储部分的磁盘映像。它是常规使用中的PC只读文件，但是很容易将其重新映射为具有自动播放功能的CD-ROM。我在2006-2008年经历过的那场比赛是为一家本地蜂窝电话提供商提供的4G记忆棒。它包含CD-ROM，例如可从本地销售点直接使用的存储设备，包括自动播放和torjan =）下一个固件补丁-并将存储设备重新映射回HDD，并且板上没有病毒。

#4 楼

任何类型的存储的主要问题是系统必须愿意执行恶意软件。在操作系统启动期间，这意味着它必须作为硬盘上的可执行文件，DLL，驱动程序或类似文件存在。它不一定要完全放在那儿，也就是说，它可以是一个很小的可加载的东西，其余的可以驻留在其他地方（甚至在网络中）。

但是也可以在操作系统执行之前加载恶意软件。操作系统的加载受BIOS或UEFI的控制，因此，如果此阶段已包含恶意软件，则该恶意软件不在操作系统的控制范围内。例如，请参阅Hacking Team的恶意软件使用UEFI Rootkit幸免于重新安装操作系统。

此外，网卡，图形卡，硬盘等上都有固件，并且通常可以更换这些固件。 。因此，某些恶意软件也可能会藏在那里，并改变系统的行为，请参阅NSA的固件黑客如何工作以及为何如此令人不安。

#5 楼

当我阅读问题时，想到的事情超出了给出的示例的范围。除了在硬盘驱动器上，甚至在计算机上，还可以在其他地方存储病毒。其中有两个地方是细菌（特别是大肠杆菌）和您的DNA。

根据cerca 2010进行的一些研究表明，大肠杆菌不仅可以存储数据（或病毒），而且可以存储数据（或病毒）。还提供生物加密。


http://www.popsci.com/science/article/2011-01/biostorage-scheme-turns-e-coli-bacteria-data-storing-硬盘驱动器

最近，科学家发现，它们可以在1克DNA中存储多达700TB的数据。好处是，如果正确存储，则可以长期存储。


http://www.extremetech.com/extreme/134672-harvard-cracks-dna-storage-crams-700-terabytes-of-data-into-a-single-克

因此，随着科技行业越来越接近整合技术和我们的生物学，他们可能不得不放眼于不仅仅是我们的硬盘，BIOS，内存，GPU等。

#6 楼

除了一个出色的多项式答案外，还有其他更多选择：很显然，网络上的另一台设备（例如，另一台计算机感染了samba共享，路由器在其网页上添加了漏洞利用程序。）。 ..）
USB设备（例如闪存盘）秘密地换成键盘并将恶意软件键入/下载到主机计算机

#7 楼

不确定计算机的其他部分是否被病毒使用，但是很久以前就遇到了BADBIOS

坏的BIOS会做什么？

Radio (SDR) program code, even with all wireless hardware removed.


It is said to infect the firmware on USB sticks.

It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.

除了上述病毒外，它不仅攻击计算机，还提供了许多类型的Rootkit，如PCI Rootkit。

总的来说，该病毒可以驻留在BIOS或任何来源，但需要执行某些步骤。

问题后编辑：

根据问题，是的，有病毒可能会转移到您的新硬盘上的可能性，例如考虑像水母这样的rootkit，但值得注意的是，这种情况对于普通的最终用户来说很少见

#8 楼

答案是肯定的，它们不仅可以隐藏在硬盘中，而且可以隐藏在您连接到PC的其他存储设备中的许多其他位置。


早期，我在Microsoft Windows中经常遇到CD / DVD“自动运行”选项的问题。病毒能够自动在刻录介质中创建“ Autorun.inf”，并在我将受影响的ROM插入阅读器时用于自动运行并感染新PC。
病毒用于自动感染USB闪存并自行传播如果将闪存驱动器插入未感染的系统。

这是两个主要领域，您必须将主要精力放在这两个领域。

如果您已成功从硬盘中删除了病毒，别忘了在以下位置检查Windows注册表：（相信我，通过从以下位置删除未知条目已禁用了许多正在执行的病毒文件）；

运行“ regedit”以打开Windows注册表编辑器，并导航至以下两个位置检查可疑的注册表项！！

HKEY_CURRENT_USER：软件：Microsoft：Windows：CurrentVersion：运行

HKEY_LOCAL_MACHINE：软件：Microsoft：Windows：CurrentVersion：运行

#9 楼

如果您使用的定制CPU是基于哈佛架构的设计，则病毒可以注入存储指令代码的ROM，但是以这种方式更改ROM值是非常困难的过程。仍然是注射

#10 楼

在一张纸上，然后在键盘上输入（或OCRed？）。

最明显的是EICAR测试病毒签名：


“ X5O！P％@ AP [4 \ PZX54（P ^）7CC）7} $ EICAR“
” -STANDARD-ANTIVIRUS-TEST-FILE！$ H + H *“


如果将两个字符串连接在一起并另存为可执行文件（a MSDOS或32位Windows平台上的“ .com”文件），则任何自重的防病毒程序都应像对待病毒一样对待它。请注意，可以使用普通香草“键盘”生成的字符来输入此字符。

#11 楼

每次重新启动PC时，都会重置它的CPU缓存。您也只能在硬盘或任何可移动外围设备上写