引用
新的bootkit藏身之处,部分笔记本的电池有独特的可交互的可以写入的组件,可以写入一个bootkit进去,而且执行权限是非常高的...
写了个测试脚本,在linux下可以成功进行电池的感染了(弄坏了电池...没有适合的bin写入~~因为电池组件第一次运行早于bios初始化完成...不过可以只修改电池某个的handler,这样可以在bios做引导前被调用——坏处是空间有限,复杂的事情搞起来很麻烦)。
Win下需要加载驱动后才能感染,而且十分复杂。
PS:少数电池组,powerkit不光可以在boot阶段运行(bios初始化过程中运行,引导前运行,操作系统电池确认工作都算是boot阶段),还可以在系统运行起来后运行(在ring 0运行)。
强大的电池攻击!!!
powerkit...
最后搞笑下::
几年后 中了毒要重装系统要做的事情有:刷新bios(因为有bios rootkit的可能),刷新声卡,网卡,显卡的ROM(各种可怕的kit),清空CPU的SMRAM(SMM Rootkit啊),刷新硬盘的固件(HDDKit的存在),重新激活电池(干掉powerkit),最后完全格式化(完整的格式化,让每个磁道都重新初始化!!)硬盘(防止邪恶的tophet)...然后重装系统...
写了个测试脚本,在linux下可以成功进行电池的感染了(弄坏了电池...没有适合的bin写入~~因为电池组件第一次运行早于bios初始化完成...不过可以只修改电池某个的handler,这样可以在bios做引导前被调用——坏处是空间有限,复杂的事情搞起来很麻烦)。
Win下需要加载驱动后才能感染,而且十分复杂。
PS:少数电池组,powerkit不光可以在boot阶段运行(bios初始化过程中运行,引导前运行,操作系统电池确认工作都算是boot阶段),还可以在系统运行起来后运行(在ring 0运行)。
强大的电池攻击!!!
powerkit...
最后搞笑下::
几年后 中了毒要重装系统要做的事情有:刷新bios(因为有bios rootkit的可能),刷新声卡,网卡,显卡的ROM(各种可怕的kit),清空CPU的SMRAM(SMM Rootkit啊),刷新硬盘的固件(HDDKit的存在),重新激活电池(干掉powerkit),最后完全格式化(完整的格式化,让每个磁道都重新初始化!!)硬盘(防止邪恶的tophet)...然后重装系统...
到那个时候的话,杀毒软件是否也加入刷新这些固件的功能了呢?拭目以待。
