Frage:
Kann ein Computervirus an einem anderen Ort als auf der Festplatte gespeichert werden?
ivan_bilan
2016-04-21 14:06:18 UTC
view on stackexchange narkive permalink

Gibt es Viren, die es geschafft haben, sich an einem anderen Ort als auf der Festplatte zu verstecken? Wie CPU-Cache oder auf dem Motherboard?

Ist das überhaupt möglich? Angenommen, ich bekomme einen Virus, also werde ich die Festplatte los und installiere eine neue. Könnte sich der Virus noch auf meinem PC befinden?

Disketten - Ich erinnere mich, dass ich mit Viren auf Disketten auf meinem Amiga umgehen musste, und das hatte nicht einmal eine Festplatte.Gleiches gilt für alle anderen Wechselmedien wie USB-Sticks, die beim Einsetzen in den Computer automatisch Code ausführen können.Sogar schreibgeschützte Medien wie CD-ROMs wurden möglicherweise mit Viren ausgeliefert.
Ein bisschenmehrabstrakt,aber ich hatte einenVirusin einer virtuellenWindows-MaschinemitZugriff auf meineechteFestplatte einmal.Nicht direkt, was Siefordern,damiteinKommentar.
Ich hatte vor Jahren einen Virus auf meinem Mainboard (zumindest gehe ich davon aus, da ich ihn mit nichts anderem erklären konnte).Es war wie 2008 und mein Computer verhielt sich seltsam.Viele zufällige Dateien wurden in meinen Ordnern gespeichert.Und 1 oder 2 Neustarts später verhinderte etwas, dass von dieser Festplatte gebootet werden konnte.Ich konnte auch Windows auf dieser Festplatte nicht neu installieren.Also kaufte ich eine neue Festplatte, zog die alte heraus und installierte Windows.Installierte Treiber (bisher noch nicht einmal mit dem Internet verbunden) wurden neu gestartet ..... Dieselben Dateien wurden auf der werkseitigen neuen Festplatte geschrieben.1 weiterer Neustart und ich konnte es auch nicht mehr verwenden.Ich habe einen neuen PC gekauft.
Jemand sollte einen Virus für eine [Mercury Delay Line] schreiben (https://en.wikipedia.org/wiki/Delay_line_memory#Mercury_delay_lines)
Etwas verwandt: http://security.stackexchange.com/q/111156/91904
Obwohl diese Frage nicht beantwortet wird, ist es besser zu wissen, dass ein Virus nicht gespeichert werden muss (mit Ausnahme der laufenden Instanz im Speicher), wenn er sich schnell genug verbreitet.In diesem Fall ist der Virus verschwunden, wenn jeder im Internet seinen Computer herunterfährt, dies jedoch nicht.
Wenn Sie je nach Position Angst haben oder beeindruckt sein möchten, lesen Sie die Referenzdokumentation des Hardwareherstellers.Zum Beispiel bietet Dell ein Dokument mit dem Namen "Statement of Volatility" für alle Server an.Es enthält mehrere Seiten mit einem Inventar des (beschreibbaren, Flash-) Firmware-Speichers auf einem Unternehmensserver.Beispiel: http://downloads.dell.com/manuals/common/poweredge-r720_white%20papers1_en-us.pdf
@Zaibis: Was Sie beschreiben, kann auch durch einen einfachen Ausfall des integrierten Laufwerkscontrollers verursacht werden.Das Ersetzen des Mobos hätte ausreichen müssen, vorausgesetzt, der Fehler wurde nicht durch etwas anderes verursacht (wie ein geringfügiges P / S oder eine andere Komponente, die Transienten in den Leistungsbus oder Datenbus einspeisen kann).
Es gibt Viren, die sich auf der Firmware der Hardware verstecken.Denk darüber nach.Der Treiber in Ihrer GPU ist infiziert (oder ein anderer Teil Ihres Computers).Dann bist du im Grunde ohne Knochen.Selbst wenn Sie Ihren vollen PC auspeitschen, bleibt die Malwsre dort und wahrscheinlich besteht die einzige Möglichkeit zum Abrufen darin, das Hardware-Teil zu flashen oder es zu ersetzen.Vorausgesetzt, Sie haben jemals die Möglichkeit, es zu finden.Das ist das wirklich böse Zeug
@Zaibis: hatte dieses Verhalten auch einmal.Wie Eric beschreibt, war es wahrscheinlich ein Mobo-Controller-Fehler.Für mich war es noch schlimmer als ein Virus, weil es sich viel länger als ein typischer Virus verstecken kann und völlig "plattformübergreifend" war: P.
@JonasDralle Was sollte ein "Treiber in Ihrer GPU" sein?!Wie würde dieser Code ausgeführt und der PC erneut infiziert?
Elf antworten:
Polynomial
2016-04-21 14:42:47 UTC
view on stackexchange narkive permalink

Viele Stellen:

Moderne Hardware verfügt über eine Vielzahl persistenter Datenspeicher, die normalerweise für Firmware verwendet werden. Es ist viel zu teuer, ein komplexes Gerät wie eine GPU oder eine Netzwerkkarte zu versenden und die Firmware auf einem Masken-ROM abzulegen, wo sie nicht aktualisiert werden kann, und dann einen Fehler zu verursachen, der Massenrückrufe verursacht. Als solches benötigen Sie zwei Dinge: einen beschreibbaren Speicherort für diese Firmware und eine Möglichkeit, die neue Firmware zu installieren. Dies bedeutet, dass die Betriebssystemsoftware in der Lage sein muss, an die Stelle zu schreiben, an der die Firmware in der Hardware gespeichert ist (normalerweise EEPROMs).

Ein gutes Beispiel hierfür ist der Status moderner BIOS / UEFI-Aktualisierungsdienstprogramme. Sie können ein UEFI-Image und eine ausführbare Datei erstellen, die auf Ihrem Betriebssystem (z. B. Windows) ausgeführt wird, auf eine Schaltfläche klicken und Ihre UEFI-Updates durchführen. Einfach! Wenn Sie rückentwickeln, wie diese funktionieren (was ich einige Male getan habe), wird meistens ein Kernel-Modus-Treiber geladen, der Seitendaten aus dem angegebenen UEFI-Image entnimmt und mit dem out , Senden der richtigen Befehle zum Entsperren des Flashs und Starten des Aktualisierungsvorgangs.

Es gibt natürlich einige Schutzmaßnahmen. Die meisten BIOS / UEFI-Images werden nur geladen, wenn sie vom Hersteller signiert wurden. Natürlich könnte ein Angreifer, der weit genug fortgeschritten ist, dem Anbieter nur den Signaturschlüssel stehlen, aber das geht in Verschwörungstheorien und gottähnliche Bedrohungsakteure ein, die in fast jedem Szenario nicht realistisch zu bekämpfen sind. Management-Engines wie IME sollen bestimmte Schutzfunktionen haben, die verhindern, dass auf ihre Speicherabschnitte auch mit ring0-Code zugegriffen werden kann. Untersuchungen haben jedoch gezeigt, dass es viele Fehler und viele Schwächen gibt.

Also alles ist geschraubt, oder? Ja und nein. Es ist möglich , Rootkits in Hardware zu integrieren, aber es ist auch unglaublich schwierig. Jeder einzelne Computer weist eine derart unterschiedliche Hardware- und Firmware-Version auf, dass es für die meisten Dinge unmöglich ist, ein generisches Rootkit zu erstellen. Sie können nicht einfach ein generisches Asus-BIOS herunterladen und es auf ein beliebiges Board flashen. du wirst es töten. Sie müssten ein Rootkit für jeden einzelnen Board-Typ erstellen, manchmal bis zum richtigen Revisionsbereich. Es ist auch ein Sicherheitsbereich, der neben starker Sicherheit und kryptografischem Wissen eine große Menge an domänenübergreifendem Wissen umfasst, das bis in die Hardware und betriebliche Aspekte moderner Computerplattformen reicht, sodass nicht viele Menschen dazu in der Lage sind.

Werden Sie wahrscheinlich ins Visier genommen? Nein.

Werden Sie wahrscheinlich mit einem BIOS / UEFI / SMM / GPU / NIC-residenten Rootkit infiziert? Nein.

Die Komplexität und die damit verbundenen Abweichungen sind einfach zu groß, als dass sich ein durchschnittlicher Benutzer jemals realistisch darum kümmern müsste. Selbst aus wirtschaftlicher Sicht erfordern diese Dinge übermäßig viel Geschick, Mühe und Geld, um sie aufzubauen. Daher ist es idiotisch, sie auf Malware für Verbraucher zu brennen. Diese Arten von Bedrohungen sind so gezielt, dass sie immer nur wirklich zum nationalstaatlichen Bedrohungsmodell gehören.

Vergessen Sie nicht den einfachsten Fall: ein Flash-Laufwerk.Wenn ein USB-Stick die Infektion verursacht hat, infiziert er die neue Festplatte problemlos erneut.
@Bergi Ich habe die Frage gestellt, ob herkömmliche Massenspeichermedien vollständig ausgeschlossen werden sollen, aber ja, das stimmt.Sie können auch Smartphones in diese Kategorie aufnehmen.
Es hängt wirklich davon ab, was "Sie" darstellen. Benutzer auf niedriger Ebene wie Sie und ich?Natürlich nicht.Hochrangige Journalisten berichten über kontroverse Themen?Die Antwort ist etwas raffinierter.Vorsicht, verletze niemals jemanden ...
Es ist jedoch mehr als nur der Inhalt des Flash-Laufwerks.Gab es nicht einen PoC zum Infizieren der USB-Firmware?
@Nate Ja, es ist als badusb bekannt, aber aus praktisch allen oben für andere Hardwaretypen beschriebenen Gründen ist es ebenso unwahrscheinlich, dass badusb eine Bedrohung für den durchschnittlichen Benutzer darstellt.
Beachten Sie, dass Malware wie die, die die iranischen Atomkraftwerke infizierte, später auch deutsche Triebwerke und Laptops gewöhnlicher Menschen infizierte.Das ist die Sache mit Malware, die entwickelt wurde, um sichere Installationen zu infizieren: Per Definition muss sie sich so viel Mühe geben, wie sie nur kann.Es ist unwahrscheinlich, dass diese Malware Ihren PC beschädigt, da sie auf bestimmte Hardware (in diesem Fall Geräte von Siemens) ausgerichtet ist.Nur weil Sie nicht gezielt angesprochen wurden, bedeutet dies nicht, dass Ihr PC nicht potenziell infiziert ist.
Ich stimme zwar eher zu, dass diese Bedrohungsvektoren unwahrscheinlich sind, aber beleben wir nicht grundsätzlich eine Variation des alten Arguments "Sicherheit durch Dunkelheit" wieder?
@ViktorToth Ja, aber das ist etwas irrelevant, wenn wir über Risikomodellierung sprechen.Es ist nicht so dunkel, wie es die Anwendbarkeit von Malware auf ein sehr kleines Ökosystem beschränkt, so dass es sich für einen Angreifer nicht lohnt, es sei denn, es soll gezielt eingesetzt werden.Die Angriffsökonomie ist ein wichtiger Bestandteil des Bedrohungsmodells.
@slebetmanDer Unterschied hierist, dassStuxnetdes*Nutzlast*entworfenwurde miteinem bestimmtenSPS-Gerätan dem System angeschlossenzu verbinden.In diesem Fallsprechen wirüberallgemeineAusdauerVektoren,nichtNutzlasten, dieeine wichtige Unterscheidungist.Während Siemit einem Stückvon Malwaremit einer solchenFunktionalitätansteckenkönnte(was immer nochunwahrscheinlichwäre)dieChancen, dass estatsächlichzu „verstecken“in der vorgesehenen Art und Weisesindunendlichzu können.Auch dasdeutscheTriebwerk , dieinfiziert wareinfachhatteStuxnetauf einem Computer,indemTriebwerk war,und es hat nichtdie beabsichtigteNutzlastauslösen.
@Polynomial: Richtig.Das ist, was ich gesagt habe.Nur weil Sie nicht gezielt sind, heißt das nicht, dass Sie nicht infiziert werden.Denken Sie daran - Nutzlast und Infektion sind zwei verschiedene Dinge.Ich weiß nichts über Sie, aber ich bin mit Viren auf meinem PC nicht vertraut, unabhängig davon, ob die Nutzlast bereitgestellt wird.Es ist schwer genug, mit Fehlern in regulären Programmen zu leben.Mögliche Fehler in Viren, die dazu führen können, dass meine Dateien, mit denen ich leben kann, nicht mehr zufällig bearbeitet werden.
@slebetman Stimmt, aber ich hätte lieber Malware auf meinem System, die ich erkennen und entsprechend durchsuchen kann, als Malware auf meinem System, die meine Hardware ruiniert.
Es ist auch möglich, dass sich Malware nur im Speicher (RAM) versteckt.Besonders auf Servern - die selten neu gestartet werden - wird dies populär.
@rugk Dies ist jedoch fast unmöglich, ohne jemals die Festplatte zu berühren.Obwohl Versuche unternommen wurden, bedeutet das Paging und das Löschen von Bibliotheken, um in die Prozesse in temporäre Verzeichnisse eingefügt zu werden, letztendlich, dass speicherresidente Malware häufig nicht vollständig speicherresident ist.
Wenn Sie wirklich paranoid sind, kann Ihre Festplatte eine Malware auf der Firmware haben.Ich habe vor einiger Zeit gelesen, wie Linux vom Hardware-Chip selbst ausgeführt wird.Die Festplatte hatte einen ARM-Prozessor, 32 MB oder Speicher und genug, um dort eine Shell auszuführen.Sie können es auf http://spritesmods.com/?art=hddhack lesen
Nur eine kleine Korrektur.Malware kann sich nicht in SMM speichern, sondern sich zur Laufzeit lediglich dort verstecken, da SMM nicht persistent ist.Sobald der Computer heruntergefahren wird, geht alles verloren, was in einem Systemverwaltungskontext (Ring -2) ausgeführt wird.Außerdem verwechseln Sie SMM mit ME.SMM unterscheidet sich vollständig von der Management Engine, die Ring -3 ist.Der ME verfügt über eine eigene Firmware (im BIOS gespeichert), die tatsächlich persistent ist, während SMM nur ein Modus mit höheren Berechtigungen ist, der für die Ausführung auf der CPU verfügbar ist.
Eigentlich gibt es ein drittes Problem mit dieser Antwort, auf das ich hinweisen muss.Sie haben den Jellyfish PoC (die GPU-residente Malware) erwähnt.Es ist auch nicht über Neustarts hinweg beständig.Es wurde wie SMM nur entwickelt, um sich vor herkömmlichen IDS zu verstecken.Während die Firmware der GPU theoretisch überschrieben werden könnte, um ein dauerhaftes Versteck für Malware zu schaffen, haben Sie nicht darauf verlinkt.Und das Quest to the Core-Papier, in dem es um Mikrocode und dergleichen geht, ist für die Frage ebenfalls nicht relevant.Der Mikrocode muss bei jedem Start erneut angewendet werden.Es geht verloren, wenn das System heruntergefahren wird.
Insgesamt sind alle von Ihnen genannten Orte außer dem BIOS / UEFI temporäre Verstecke, über die Malware IDS ausweichen und höhere Berechtigungen aufrechterhalten kann.Keiner von ihnen wird verwendet, um über Neustarts oder Neuinstallationen hinweg bestehen zu bleiben.Ich denke auch, dass Sie IME mit SMI verwechselt haben (das von Ihnen erwähnte Phrack-Papier hat überhaupt nicht über IME gesprochen, sondern nur über SMIs, die zum Starten in den SMM-Kontext verwendet werden).Ich denke, diese ganze Antwort versteht die Frage falsch und listet Orte auf, an denen sich Malware vor einem IDS verstecken kann, nicht Orte, an denen Malware gespeichert werden kann. Und verwenden die meisten Systeme heutzutage nicht MLC NAND anstelle von EEPROM?
@forest Wenn Sie diese Bereiche infizieren, können Sie Malware mit bestimmten Funktionen implementieren.Wenn Sie beispielsweise die Firmware einer Netzwerkkarte infizieren, erhalten Sie DMA-Zugriff auf den gesamten Systemspeicher und einen verdeckten Exfiltrationskanal, der vom Betriebssystem nicht erkannt werden kann.GPU-Malware kann wieder DMA, sodass sie die volle Kontrolle über das System hat, obwohl sie nicht direkt kommunizieren kann (nun ja, wenn Sie aufgrund von HEC einen mit dem Internet verbundenen Fernseher über HDMI anschließen).GPUs haben auch Firmware.Der Punkt ist, dass diese Orte Code speichern und das Ändern dieses Codes ein dauerhaftes Stealthy-Rootkit ermöglicht.
Das stimmt, aber um an diese Orte zu gelangen, benötigen Sie die erforderlichen Berechtigungen, um DMA-Fähigkeiten zu erlangen. Es ist also auch nicht privesc.Es macht wirklich keinen Sinn, zu den GPUs zu wechseln, wenn Sie bereits Ring 0 haben, außer sich vor dem Rest des Systems zu verstecken und sich verdeckt mit Dingen über DMA herumzuschlagen.Sie können einen Neustart nicht überleben.Sofern ich die Frage von OP nicht falsch verstanden habe, fragt er nicht nach einem versteckten Rootkit, sondern nach einem, das an anderen Orten als der Festplatte wie dem BIOS usw. gespeichert ist (nicht nur vor einem IDS).
Gibt es keine dedizierten Chips, die dafür verantwortlich sind, zu lesen, ob die Software installiert werden soll und ob sie signiert ist?
@TrevörAnneDenise Nicht wirklich;In einigen Hardwareplattformen gibt es Funktionen, mit denen versucht werden kann, die Codeintegrität und -authentizität zu erzwingen (z. B. ARM TrustZone und UEFI SecureBoot). In der Praxis hat sich jedoch gezeigt, dass diese aufgrund von Fehlern bei der Implementierung oder mangelnder Herstellerunterstützung mangelhaft sind.
@TrevörAnneDenise Das Problem besteht darin, dass diese Systeme (weitgehend) in bestehende Architekturen integriert wurden, um Probleme zu lösen, die Jahrzehnte nach dem ursprünglichen Entwurf des Systems auftraten.Daher weisen die Funktionen in der Regel komplizierte Anforderungen und Einschränkungen auf, wodurch ihre Funktionen geschwächt und die Implementierungskosten erhöht werden.Auch das Signieren von Code ist auf Allzweckmaschinen eine schwierige Angelegenheit - wer sollte Code signieren dürfen?Wenn Sie es einschränken, wird Ihre Wahlfreiheit für das Betriebssystem eingeschränkt.Wenn Sie es für irgendjemanden öffnen, was kann verhindern, dass Malware signiert wird?Es ist eine schwierige UX-Wahl.
Das ist verständlich !
Anders
2016-04-21 14:30:27 UTC
view on stackexchange narkive permalink

Die kurze Antwort auf Ihre Frage lautet Ja.

Hier sind einige Stellen, an denen sich ein Virus verstecken könnte:

  • Auf der Firmware von Ihre Tastatur, Maus, Webcam, Lautsprecher usw. Grundsätzlich alles, was Sie an Ihren Computer anschließen und über eine beschreibbare Firmware verfügen.
  • Auf Ihrer Festplatten-Firmware. Sozusagen auf Ihrer Festplatte, überlebt aber dennoch eine Neuformatierung. Die NSA sind wahrscheinlich Verdächtige dafür.
  • In Ihrem BIOS oder UEFI.
  • Booten Sie in früheren Zeiten Sektoren von Disketten. Dies war Standard bei frühen Viren, da zu dieser Zeit Disketten häufig als Primärspeicher verwendet wurden. Gleiches gilt jetzt für USB-Sticks.

Ein Virus kann möglicherweise auf alles abzielen, wo beschreibbare Daten vorhanden sind, die als ausführbarer Code behandelt werden. Auf einem Computer ist das im Grunde überall. Um einen Neustart zu überstehen, müsste es sich jedoch um eine Art dauerhaften Speicher handeln. Daher ist der CPU-Cache möglicherweise nicht der beste Ort, um sich zu verstecken.

Die meisten Viren tun dies jedoch nicht und leben nur auf der Festplatte. Dies liegt daran, dass Virenschreiber (rational) faul sind. Warum sollten Sie sich für die komplizierten Optionen entscheiden, wenn es viele niedrig hängende Früchte gibt?

Ah ja, ich habe die Festplatten-Firmware aus meiner Antwort vergessen.Travis Goodspeed hat vor einiger Zeit einen interessanten Vortrag darüber gehalten und eine Anti-Forensik-Disk produziert.Die Idee war, dass normale Lese- / Schreib- und ATA-Befehlsmuster des Betriebssystems ziemlich einzigartig sind, aber Schreibblocker, Forensik-Software und Kloner (z. B. "dd") völlig unterschiedliche Muster senden, die es leicht machen, zu erkennen, wann eine Festplatte forensisch analysiert wird.Die Disk wischt sich dann mit einem wiederholten Muster der Texte zu Rick Astleys Never Gonna Give You Up ab.
@Polynomial Zählt das als Rickroll?
Alles mit Firmware.einschließlich Drucker
Tastaturen haben beschreibbare Firmware?Ich wusste, dass einige teure Mäuse das taten, aber ich kannte keine Tastaturen, die das taten.Ich bin ein bisschen traurig, das überhaupt herauszufinden, wenn man bedenkt, dass ich einer der Leute bin, die immer noch lieber eine PS / 2-Tastatur und -Maus verwenden ... On-Demand-Interrupts> ein alberner Fahrer, der 5000 Mal pro Sekunde abfragt, imo.
@forest Es ist kein Standard, aber ich denke, es gibt.Ich könnte mich jedoch irren.
@forest - Vor einiger Zeit gab es einen bewährten Angriff auf die Mac-Tastatur-Firmware. Ich glaube, er wurde auf Hackaday geschrieben.Kein Grund zu der Annahme, dass sie einzigartig sind.Heutzutage enthält alles ein Mikro, weil es nur billiger ist als das Erstellen von Funktionen in Hardware, und sehr leistungsfähige (und daher nützlich infizierbare) Mikros sind jetzt so billig.
http://www.zdnet.com/article/criminals-push-malware-by-losing-usb-sticks-in-parking-lots/ und http://www.instructables.com/id/USB-Mouse-Flash-Drive-Hack /
@Polynomial War das nicht eine Beschreibung in PoC || GTFO und speziell für iPod-Festplatten?Ich erinnere mich, dass Änderungen an der iPod-Firmware vorgenommen wurden, die mit dem Laufwerk verbunden war, nicht mit der Laufwerksfirmware selbst (obwohl Sie natürlich dasselbe in der Laufwerksfirmware tun könnten).
@forest Ja, ein besseres Zitat wäre [hddhack over at spritesmods] (https://spritesmods.com/?art=hddhack).
Alexey Vesnin
2016-04-21 19:51:38 UTC
view on stackexchange narkive permalink

Eine der häufigsten , aber nicht aktivierten Stellen ist ... eine Peripherie mit "eingebetteter Treiberdiskette", wie viele 3G / 4G-USB-Sticks. Sie haben - technisch gesehen - einen Hub im Inneren und einen generischen Speicher + das Gerät selbst darauf. Durch das Aktualisieren der Firmware wird normalerweise ein auf dem generischen Speicherteil bereitgestelltes Disk-Image aktualisiert. Es ist im regulären Gebrauch vom PC schreibgeschützt, aber es kann problemlos als CD-ROM mit Autoplay neu zugeordnet werden. Der, den ich 2006-2008 selbst erlebt habe, war ein 4G-Stick für einen lokalen Mobilfunkanbieter. Es enthielt eine CD-ROM wie einen sofort einsatzbereiten Speicher von der örtlichen Verkaufsstelle, Autoplay und Torjan enthalten =) Nächster Firmware-Patch - und ein Speicher wird wieder auf die Festplatte und ohne Viren an Bord neu zugeordnet.

Ich hätte gedacht, dass "Autorun" jetzt dauerhaft deaktiviert ist
@Xen2050 Schnallen Sie sich an: Als ich ein Upgrade von Windows 7 auf 10 durchführte, war in Win7 die automatische Ausführung deaktiviert.In win10 ** wurde es vom Installationsprogramm wieder aktiviert **, während alle Einstellungen, die ich hatte, migriert wurden
Steffen Ullrich
2016-04-21 14:31:09 UTC
view on stackexchange narkive permalink

Das Hauptproblem bei jeder Art von Speicher besteht darin, dass das System bereit sein muss, die Malware auszuführen. Während des Startvorgangs des Betriebssystems bedeutet dies, dass es sich irgendwo als ausführbare Datei, DLL, Treiber oder ähnliches auf der Festplatte befinden muss. Es muss nicht vollständig vorhanden sein, d. H. Es kann sich um ein kleines ladbares Material handeln, und der Rest befindet sich möglicherweise an einem anderen Ort (sogar im Netzwerk).

Malware kann jedoch auch geladen werden, bevor das Betriebssystem ausgeführt wird. Das Laden des Betriebssystems wird vom BIOS oder UEFI gesteuert. Wenn die Malware in dieser Phase bereits enthalten ist, liegt sie außerhalb der Kontrolle des Betriebssystems. Ein Beispiel finden Sie unter Die Malware des Hacking Teams verwendet ein UEFI-Rootkit, um die Neuinstallation des Betriebssystems zu überleben.

Abgesehen davon befindet sich Firmware auf der Netzwerkkarte, der Grafikkarte, der Festplatte usw. und diese können oft ersetzt werden. Daher kann sich dort auch Malware verstecken und das Verhalten des Systems ändern. Weitere Informationen finden Sie unter Wie das Firmware-Hacking der NSA funktioniert und warum es so beunruhigend ist.

Josh
2016-04-22 03:25:25 UTC
view on stackexchange narkive permalink

Beim Lesen der Frage fielen mir einige Dinge ein, die über den Rahmen des angegebenen Beispiels hinausgehen. Es gibt andere Orte, an denen ein Virus gespeichert werden kann, außer auf einer Festplatte oder sogar auf einem Computer. Ein paar dieser Orte wären Bakterien (speziell E. coli) und Ihre DNA .

Nach einigen Untersuchungen, die cerca 2010 durchgeführt haben und die bewiesen haben, dass E. . coli konnte nicht nur Daten (oder Viren) speichern, sondern auch Bioverschlüsselung anbieten.

In jüngerer Zeit haben Wissenschaftler entdeckt, dass sie bis zu 700 TB Daten in 1 Gramm speichern können Ihrer DNA. Der Vorteil wäre, dass es sich bei ordnungsgemäßer Lagerung um eine Langzeitlagerung handelt.

Wenn sich die Tech-Industrie der Integration von Technologie und Biologie nähert, müssen sie möglicherweise weiter schauen als nur nach Festplatte, BIOS, Speicher, GPU, usw.

Hier sind ein paar weitere Links, die von Interesse sein könnten. Http://extremetech.com/extreme/212496-dna-can-now-reliably-store-data-for-2000-years-or-morehttp: //io9.gizmodo.com/5699767/bioencryption-can-store-almost-a-million-gigabytes-of-data-inside-bacteria
Oh Schnappschuss, daran habe ich nicht gedacht.
Interessant, aber im Moment ist es kein wirklich praktikabler Ort, um einen Computervirus zu speichern, der ein neues Betriebssystem erneut infizieren würde (zum Glück würde es hassen, ein Motherboard physisch reinigen und ein "sauberes Betriebssystem" installieren zu müssen).
Und wenn Sie den Computervirus in einem * tatsächlichen * Virus speichern, werden wir alle Träger dafür!
Edheldil
2016-04-21 21:15:11 UTC
view on stackexchange narkive permalink

Zusätzlich zur Antwort eines hervorragenden Polynoms gibt es einige weitere Optionen:

  • offensichtlich ein anderes Gerät im Netzwerk (z. B. ein anderer Computer, der Samba-Freigaben infiziert, Router, der seiner Webseite einen Exploit hinzufügt, ...)
  • USB-Gerät (z. B. Flash-Disk) wechselt heimlich zu einer Tastatur und tippt / lädt die Malware auf den Host-Computer
BlueBerry - Vignesh4303
2016-04-21 14:18:50 UTC
view on stackexchange narkive permalink

Ich bin mir nicht sicher, ob ein anderer Teil des Computers von Viren verwendet wurde, aber vor langer Zeit stieß ich auf BADBIOS

Was macht schlechtes BIOS? 

  SDR-Programmcode (Radio), auch wenn die gesamte drahtlose Hardware entfernt wurde. Es soll die Firmware auf USB-Sticks infizieren. Es wird gesagt, dass TTF-Dateien (Schriftarten) verwendet werden, anscheinend in großer Anzahl.

Abgesehen von den oben genannten Viren, die eine Maschine angreifen, gab es viele Arten von Rootkits wie PCI-Rootkit

Zusammenfassend kann der Virus in einem BIOS oder an einer beliebigen Quelle gespeichert werden, erfordert jedoch einen Ausführungspunkt, der auf der Hardware fehlt.

Nach Frage bearbeiten:

Gemäß Frage, Ja, es gab Viruswahrscheinlichkeiten, die auf Ihre neue Festplatte übertragen werden konnten. Betrachten Sie beispielsweise Rootkits wie Quallen, aber insbesondere waren diese Fälle für normale Endbenutzer

selten
"Es soll sich auf neue Opfercomputer ausbreiten, die die Lautsprecher eines infizierten Geräts verwenden, um mit dem Mikrofon eines nicht infizierten Geräts zu sprechen.", warte was?Durch Schallwellen?
@ivan_bilan Eine Sache sollte hier beachtet werden, dies waren die Möglichkeiten, die theoretisch abgeleitet wurden und bewährte Methoden beschreiben, wie es gemacht werden kann, aber diese Art von Rootkits, Viren und Spyware war unter Endbenutzern sehr selten und selten, so dass Sie sich keine Sorgen machen müssendass http://blog.erratasec.com/2013/10/badbios-features-explained.html#.VxicW7NZNE4 hier einen Blick darauf werfen, gibt es in sehr detaillierten Antworten
Der Sophos-Artikel, auf den Sie verlinkt haben, deutet darauf hin, dass badBIOS ein Scherz sein könnte, da er nur Dragos Ruiu, den Typ, der es gemeldet hat, betroffen hat. Niemand hat seine Ergebnisse wiederholt.
@ivan_bilan http: // www.jocm.us / uploadfile / 2013/1125/20131125103803901.pdf
Das ist eine Menge von "Es wird gesagt", die eine Vielzahl hochentwickelter Funktionen erfordern, die nur für eine einzelne Person konvergieren.Wurde dies jemals überprüft?Ich bin sehr skeptisch und neige dazu zu glauben, dass dies einfach ein seltsamer Scherz oder eine imaginäre Episode war.Das Lesen anderer Themen legt nahe, dass dies ein alter Hut ist und ich mit dieser Interpretation von allem nicht allein bin.
Kiran
2016-04-21 23:48:08 UTC
view on stackexchange narkive permalink

Die Antwort lautet JA. Sie können sich an vielen anderen Stellen verstecken, nicht nur auf Ihrer Festplatte, sondern auch auf anderen Speichergeräten, die Sie an Ihren PC angeschlossen haben.

  • Früher hatte ich in meinem Microsoft Windows viele Probleme mit der CD / DVD-Option "Autorun". Viren waren so in der Lage, automatisch "Autorun.inf" in brennenden Medien zu erstellen und automatisch auf einem neuen PC auszuführen und zu infizieren, wenn ich das betroffene ROM in den Reader einfüge.

  • Viren werden verwendet, um USB-Sticks automatisch zu infizieren und sich von selbst zu verbreiten, wenn das Flash-Laufwerk in ein nicht infiziertes System eingesetzt wird.

Dies sind zwei Hauptbereiche, in denen Sie Der Hauptfokus muss sein.

Wenn Sie es geschafft haben, Viren von Ihrer Festplatte zu entfernen, vergessen Sie nicht, die Windows-Registrierung an folgenden Stellen zu überprüfen: (Glauben Sie mir, ich habe viele ausgeführte Virendateien durch Entfernen deaktiviert unbekannte Einträge von unten);

Führen Sie "regedit" aus, um den Windows-Registrierungseditor zu öffnen, und navigieren Sie, um unten zwei Speicherorte auf verdächtige Registrierungseinträge zu überprüfen.

HKEY_CURRENT_USER: Software: Microsoft: Windows: CurrentVersion: Führen Sie

HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Ausführen

aus
Ich denke, wenn die Festplatte entfernt würde, wäre das Betriebssystem (und alle Registrierungseinträge) damit weg.
B. Koksal
2016-04-22 13:52:45 UTC
view on stackexchange narkive permalink

Wenn Sie eine benutzerdefinierte CPU verwenden, die als auf einer Harvard-Architektur basierendes Design arbeitet, kann ein Virus das ROM injizieren, in dem die Anweisungscodes gespeichert sind. Es ist jedoch sehr, sehr schwierig, einen ROM-Wert auf diese Weise zu ändern. Trotzdem ist es eine Injektion

Stephen Lyons
2016-04-22 22:25:59 UTC
view on stackexchange narkive permalink

Auf einem Blatt Papier, das dann über die Tastatur (oder OCRed?) eingegeben wird.

Am offensichtlichsten ist die Signatur des EICAR-Testvirus:

"X5O! P% @ AP [4 \ PZX54 (P ^) 7CC ) 7} $ EICAR "
" -STANDARD-ANTIVIRUS-TEST-DATEI! $ H + H * "

Wenn Sie die beiden Zeichenfolgen zusammenfügen und als ausführbare Datei speichern (eine ".com" -Datei auf MSDOS- oder 32-Bit-Windows-Plattformen) Dann sollte jedes Antivirenprogramm, das sich selbst respektiert, es so behandeln, als wäre es ein Virus. Beachten Sie, dass dies speziell mit Zeichen eingegeben werden kann, die über eine einfache Vanille- "Tastatur" generiert werden können.

Was ist an EICAR als Beispiel offensichtlich?Alle Malware ist Code, der kompiliert oder interpretiert werden muss.Ich bin völlig verwirrt darüber, warum EICAR ein Beispiel ist.Ist es nur, weil es kurz genug ist, damit die durchschnittliche Person tippen kann?
Ich bin mir auch nicht sicher, ob das Ausdrucken gemäß der Frage als "Verstecken" gilt.
Das ist kein Virus.Es ist nur eine Testzeichenfolge für AV-Programme.Es gibt keine Möglichkeit für diese Datei, zu reproduzieren, ausgeführt zu werden oder irgendetwas zu tun, was Viren oder Malware tun.
Cricco95
2016-04-21 14:10:11 UTC
view on stackexchange narkive permalink

Der CPU-Cache wird bei jedem Neustart des PCs zurückgesetzt. Sie können auch nur auf die Festplatte oder auf austauschbare Peripheriegeräte

schreiben
Aber kann es neu konfiguriert werden, um nicht durch einen BIOS-Hack zurückgesetzt zu werden?
Der CPU-Cache wird nicht vom BIOS verwaltet.BIOS ist nur ein einfaches E / A-System
Der CPU-Cache ist nur schneller RAM.Es kann nach dem Aus- und Einschalten der CPU nicht mehr bestehen bleiben.
Das BIOS ist sicherlich vom Betriebssystem beschreibbar, insbesondere in UEFI.Wie funktionieren die Userland-Update-Tools Ihrer Meinung nach?
Sie können in das BIOS schreiben und alles auf demselben Chip, auf dem sich das BIOS befindet (DSDT-Tabellen usw.). Sie können in das NVRAM (CMOS-Speicher) schreiben, obwohl ich nicht glaube, dass Sie dort Malware einfügen können, und es ist wahrscheinlich zu kleinUm eine ausnutzbare Nutzlast bereitzustellen (normalerweise nur 144 Byte), und auf zukünftigen Skylake-Prozessoren verfügt die CPU selbst über ein integriertes FPGA.Sie können auch auf vielen PCI-Geräten in die Firmware schreiben, die einen DMA-Angriff auf Ihren Computer auslösen können und Options-ROMs enthalten.Also nein, nicht nur Ihre Festplatte oder Peripheriegeräte.
Obwohl Ihre Antwort einen interessanten Kommentar-Chat hervorgebracht hat, ist sie afaik keine Antwort auf die ursprüngliche Frage.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...