題:
惡意軟件可以啟動計算機嗎?
Benoit Esnard
2019-02-12 22:21:43 UTC
view on stackexchange narkive permalink

我剛剛在計算機上下載並執行了一個惡意軟件。

我現在沒有太多時間,所以我關閉了電源(通過“開始”菜單將其關閉) ,希望它在我能從軌道上發射出去之前無法竊取任何數據或進行惡意活動。

  • 是否足以防止惡意軟件繼續進行惡意活動?
  • 惡意軟件可以在我的計算機上開機嗎?
  • 我還應該拔掉它並取出電池嗎?
我很困惑,如果您打算從軌道上對其進行核彈,那麼它會做什麼呢?更重要的一點是切斷網絡。
_(戴上錫箔帽子,並指出我不是該領域的專家)_惡意軟件是否有可能在特定的時間更改為bios以便喚醒?
我認為您需要更高的權限來安排rtc喚醒或為WOL配置BIOS ...
如果在裝有焊接電池並以100%充電的筆記本電腦中執行惡意軟件該怎麼辦?
可以通過@dandavis來獲得提升的特權,包括繞過整個操作系統。在DefCon演示中,惡意軟件設法繞過所有窗口,修改ROM,然後執行並完全駐留在操作系統無法訪問的內存中。因此,即使您啟動到Linux,它仍然存在並且可以訪問內存中的任何數據。簡而言之,這不一定是權宜之計。雖然,我不知道OP獲得了什麼惡意軟件。
有BIOS喚醒時間功能,惡意軟件可以對其進行編程。取決於您的硬件如何避免它們。拔出電源一定會有所幫助。
我們如何知道該惡意軟件尚未打開您的計算機來發布此問題?的確,Benoit可以快速入睡,這是一種先進的仁慈ISSE點計分惡意軟件。:-p
“所以我剛剛關閉電源(通過“開始”菜單將其關閉)”如果您運行的是Windows 10,則計算機很可能處於掛起/休眠狀態,而不是完全關閉。
@enon:很簡單,將電池拆焊。
五 答案:
LSerni
2019-02-12 23:21:05 UTC
view on stackexchange narkive permalink

TL; DR是的,但是不太可能。只是要確保拔出PC或確保它無法連接任何東西。

多個操作系統(尤其是Windows 10)可以設置“ 自動喚醒” ,使用適當的驅動程序以及相關的複雜硬件管理。

因此, IF (如果這樣的話,那就大了!),惡意軟件程序已經獲得了足夠的訪問權限來安裝操作系統進行競標,它可以簡單地詢問系統本身來代表它進行競標。

在某些系統上(惡意軟件必須能夠識別併計劃),這也適用於“真正的掉電”:附加電路將在板載實時時鐘的預選時間打開計算機。在某些台式機BIOS中,這種方式可以通過較少的軟件訪問方式獲得(“自動開機:[]從不; []斷電後; []在給定時間的每一天:”或類似內容,在BIOS設置中)。

然後,系統會在一段時間後自動開機,例如在您可能要入睡的時候。

所以:

  • 具有RTC開機硬件支持,或更多(集成管理系統,在企業計算機上很常見)
    • 惡意軟件必須已經控制了系統,因為RTC功能通常需要管理員/根級別訪問權限。已經僅以進入睡眠狀態就關閉了關機程序,並設置了以後退出睡眠模式的條件。

但是沒有這兩個選項中有一個發生了嗎?可能不會。大多數惡意軟件都依靠不知不覺地運行並能夠在一段時間內未被檢測到來運行。 “關閉電源模擬”僅在非常特定的情況下有用(並且硬件選項僅在相對較少的系統上可用),而且我認為惡意軟件編寫者不必為它們擔心而已。它們通常帶有第三個也是最簡單的選項:

  • 一些常用的自動開機或登錄順序(autoexec,啟動腳本,計劃任務,運行服務等)被顛覆了,以便

對於“目標”惡意軟件,其設計要考慮到某些特定的受害者並針對特定目標的功能進行量身定制,而不是針對可用的子集進行靜默運行。在受感染的普通計算機上,以上所有條件都不會發揮作用。

如果該病毒感染了您的BMC(它可以使用IPMI來打開系統電源),您也會遇到類似的問題。但是,對於消費類機器而言,這並不是很大的風險。BMC硬件通常僅在服務器上可見。
@bta台式機系統上的Intel ME和AMD PSP基本上具有與高級BMC相同的功能。
_“這要求惡意軟件已經(...)僅僅通過進入睡眠狀態就已經關閉了關機程序” _並非真正針對現代x86,請參閱[Matija Nalis的回答](https://security.stackexchange.com/a / 203450/145686)。
Windows任務計劃程序可以訪問ACPI RTC喚醒功能,並將使用它。通常,它僅從S3和S4喚醒,但是有些系統無法在acpi級別上區分S4和S5進行喚醒。我曾經有一台如此出色的(vista)機器,它將在半夜啟動以檢查Windows更新...
“局域網喚醒” / IME與Windows 10無關,它是硬件功能,而不是軟件功能
這不僅是Windows10。幾十年前,您的BIOS已經具有“喚醒警報”功能,它將在指定時間啟動PC。並且您的操作系統可以設置此警報時間。如果您的惡意軟件也僅在正常的PC啟動程序上運行,則不必為此設置睡眠模式。
“拔下PC”->惡意軟件可以將其重新插入嗎?;)
Matija Nalis
2019-02-13 01:48:16 UTC
view on stackexchange narkive permalink

正如其他人提到的那樣,儘管目前可能性很小(因為絕大多數惡意軟件都不會打擾),但在大多數PC硬件上還是有可能的。

其他人說不可能的是錯。軟件實際上可以可以喚醒可以通過“關閉”或“關閉電源”命令(GNU / Linux)或單擊“開始”按鈕定期關閉電源的計算機。然後單擊“關機”(MS Windows),或通過手動按電源按鈕。

此功能稱為 RTC喚醒,它允許軟件安排在一天中的特定時間進行喚醒。它由實時時鐘芯片(該芯片可在計算機關閉時跟踪時間並使用其自己的CR2032電池運行)控制。

如果您運行的是GNU /在Linux系統中,該功能的控制由 rtcwake(8)系統命令提供。

作為一項相關功能,許多計算機還具有稱為 Wake on LAN的功能,該功能允許其他計算機和路由器通過有線以太網絡打開計算機的電源(請注意,此功能必須在您的計算機上啟用,是否默認為on取決於您的BIOS。

主板不監視電源開關,PSU監視。主板只需將小按鈕針頭連接到24針atx連接器即可。
我告訴人們,就像《公主新娘》中的韋斯特利一樣,“關機”的計算機並沒有完全關閉。大部分時間都在關閉。主板的一小部分正在監視機箱正面的“電源開關”(通過@Matija Nails的電源進行佈線),鍵盤輸出的“電源”信號,並可能正在監視特殊的數據包打網卡...
-1
另請注意,自從cca 1995年出現[ATX電源](https://en.wikipedia.org/wiki/ATX)以來,大多數PC計算機不再具有物理關閉開關(您可以拉出電纜),或者很少通過ATX PSU背面靠近交流電纜的機械開關操作)。因此,如果您可以通過軟件“關閉”計算機(通過單擊“關機”按鈕),則幾乎也可以通過軟件將其打開。因此,實際上現代計算機永遠不會關閉,我們所謂的“關閉”實際上是[ACPI G2 / S5](https://en.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface#Power_states)“軟關閉”狀態
僅當您控制同一台已打開電源*的局域網中的另一台計算機時,喚醒局域網才起作用。請注意,“加電”不一定表示風扇和磁盤雜亂地旋轉。任何具有足夠電力和活動能力以發出LAN數據包的設備(無論是電池上的IoT設備)都可以發出WoL數據包
@MatijaNalis-我相信在英國銷售的所有電源在法律上都必須具有物理開關,儘管在正常情況下沒有人會使用它。這可能在整個歐盟範圍內。
@MSalters不可能全部都在硬件中,因為如果在計算機運行時按“電源開關”,它將啟動正常關機(刷新磁盤緩衝區,放置讀/寫磁頭等),然後進入“大部分”關閉”狀態。我記得那不是真的(ATX之前)。可能有一個硬件組件可以跟踪該狀態並在沒有任何軟件的情況下啟用“加電”功能,但是正因為主板具有需要某種底層處理的Wake on LAN(通常是Wake on Modem),所以這很合理假設它們的操作類似。
-1
帶有備用電池的@MatijaNalis在機器開機時可持續使用兩個小時,也不用拉電纜。
有一個“電源開關”和一個PSU開關(還有一個安全功能)。在PSU之後,舊PC也有真正的電源開關。
真正的舊PC只有真正的電源開關。在我的第一個驅動器上,它是一個紅色的大槓桿,您可以進行切換,最好是在命令行中運行“ park”以駐留硬盤驅動器之後。
@Joshua我在這裡有一台全新的Lenovo,兩台2歲的惠普和3歲的Dell,但他們都沒有硬電源開關。我認為您的設備必須滿足一定的軟備用電源限制,或者可以放置一個硬電源開關來滿足此要求。
J.A.K.
2019-02-12 23:36:27 UTC
view on stackexchange narkive permalink

編輯:是的,可以做到。正如Majita Nalis給出的一個很好的答案所示,現代系統具有內置功能,可讓您從軟件設置啟動“警報”。設備。假設您的路由器具有默認憑據或漏洞,則該惡意軟件可能已經傳播。如果啟用了局域網喚醒,則有人可以打開計算機的電源。

但是在檢查WoL和RTC喚醒後,您仍然不完全安全。大多數惡意軟件將在環3中運行,如果您真的不太幸運在環0中作為內核模塊或系統驅動程序運行,則大多數惡意軟件都將在環3中運行。當系統實際關閉時,它們都沒有運行,並且如果未設置時鐘,則從根本上說它們將不再能對機器進行控制。

在環0下方有執行模式,例如SMM和其他固件,用於電源管理。但是濫用這種惡意軟件的情況極為罕見,我可以在野外唯一提到的例子是NSA代號DEITYBOUNCE類惡意軟件,以及LoJax可能由Fancy Bear傳播。

https://security.stackexchange.com/a/180107/121894

您是否掌握有關該惡意軟件的信息,例如哈希或姓氏?這樣可以得到更詳細的答案。

LoryOne
2019-02-13 03:41:26 UTC
view on stackexchange narkive permalink

WOL數據包具有特定的結構;並不是說它可以通過Internet發送或通過Intranet路由以到達目標。當飲食連接斷開或連接但關閉時,計算機將關閉電源.RTC喚醒功能不錯,但我想它只能使用我個人認為,某些SMM固件功能(如果未正確配置且默認禁用)可能會對遠程管理造成危險。最佳選擇是拔下Internet電纜或禁用無線網卡,直到不確定通過病毒感染對您的PC進行消毒。

在特殊情況下,WOL幀可以作為定向IP廣播通過Internet發送,也可以從被黑客入侵的路由器或LAN上的其他設備發送。--- ATX計算機上的RTC警報(於1995年推出,後來被廣泛採用)旨在使計算機能夠從完全關閉的狀態打開電源。即使關閉,ATX電源也可以提供5伏待機電壓。這是為了允許諸如WOL,通過鍵盤上電等功能。--- SMM用於APM功能,但從理論上講,沒有必要實現上述兩個喚醒功能。
Ed Kideys
2019-02-15 18:18:52 UTC
view on stackexchange narkive permalink

Root Kit惡意軟件可以做到這一點甚至更多。但是,rootkit通常用作間諜軟件,從系統中收集信息,而又無法檢測到系統已被感染。從間諜軟件的角度來看,打開系統電源,進行一些惡作劇然後關閉電源並沒有用,因為它不知道並且很難預測計算機的使用時間表。

寫得很好沒有同樣好的書面反惡意軟件保護的系統將無法檢測到root kit。就您而言,已檢測到惡意軟件。認為自己很幸運。要保護您的系統免受root kit惡意軟件的侵害:

  1. 永遠不要以root用戶或管理員身份登錄!如果需要在系統範圍內執行某些操作,請始終使用“ sudo”(Linux)或“運行方式”(Windows)。

  2. 請確保您擁有非常強大的root用戶(管理員)密碼,並根據實際情況更改此密碼。

    3. ol>


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 4.0許可。
Loading...