ESET v11貌似加入了UEFI扫描功能

驭龙

B100D1E55 发表于 2017-10-24 09:40
囧囧。
我还没看过SGX文档，暂不做评论哈哈

据说是Windows 10已经支持，另外好像McAfee的Agent 也支持了，不确定Edge支不支持，但这是硬件功能需要6代处理器，最好是七代以上

还有现在100系以后的主板似乎都有BOOT Guard功能，硬件级的，哈

ccboxes

B100D1E55 发表于 2017-10-23 12:52
就算没发清毒，扫出毒对用户解决问题也是有帮助的。不知道有没有部署一些行为防御点来防止非法访问UEFI区 ...

其实蛮鸡肋的，不只是没法清毒。
Bootkit和Rootkit是一套组合拳，感染UEFI的话，肯定可以绕过操作系统层级的提前启动反恶意软件服务。一旦感染成功，安全软件根本启动不了，就算启动得了驱动后于病毒驱动加载也完全是任人宰割的RBQ，直接劫持你的扫描线程，什么都扫不出来。这是信任链的问题，最初的一环崩溃了整个链条都会粉碎。

在对抗Bootkit上，普及硬件级的防护才是根本，安软反而什么都不该做，盲目部署过量R0层的对抗技术，甚至去调用未公开的API，只会让系统不停蓝屏。

其实HIPS对抗这个好说，禁止低级磁盘、文件系统访问。倒是智能化的主防不太好搞，要结合云信誉和扫描来判别才能较好的压制误报。再深入监控低级磁盘访问的内容需要非常的手段（比如硬件虚拟化），在个人安全领域使用的话稳定性不好（系统版本太碎片化）。

B100D1E55

ccboxes 发表于 2017-10-24 15:10
其实蛮鸡肋的，不只是没法清毒。
Bootkit和Rootkit是一套组合拳，感染UEFI的话，肯定可以绕过操作系统层 ...

估计主要是因为vault 7泄露导致的恐慌，就怕像wannacry一样被水平普通的也能拿去攻击。

其实几年前就有类似的东西，比如https://github.com/chipsec/chipsec。不过你说的没错，硬件上的防御是治本的，但是很多消费级产品基本不注重也不维护这方面问题。UEFI攻击流行起来后这方面长尾效应会很严重

不考虑稳定性，有扫描功能总归比没有要好一点吧
话说我对UEFI这个其实不是很熟悉，我记得Linux下是可以直接访问EFI并且改EFI var的（sudo）？

ccboxes

B100D1E55 发表于 2017-10-24 21:39
估计主要是因为vault 7泄露导致的恐慌，就怕像wannacry一样被水平普通的也能拿去攻击。

其实几年前就 ...

其实是没有意义的（就算不考虑稳定性），因为Bootkit一定会劫持安软的访问到病毒备份的正常固件上，所以无论感染不感染，扫描结果都是安全。不然其实搞Bootkit没意义，还麻烦。

任何情况下、只要获取低级磁盘访问都可以直接修改UEFI，毕竟是有部分是存储在硬盘上的，TPM之类的安全芯片的作用也不是禁止修改，而是启动时校验引导模块的签名是否正确，不符直接禁止启动。

除了普及硬件安全芯片之外，现在企业级安防大公司已经都是虚拟化安全（也是各大安软公司现在主推的安全解决方案）。直接取消终端，所有工作电脑都是运行在公司总服务器上的虚拟机，这样依靠虚拟机监控程序就可以在不修改虚拟机操作系统的前提下监控一切行为。
可以看看这个专利
https://www.google.com/patents/CN101866408A?cl=zh

驭龙

ccboxes 发表于 2017-10-25 10:37
其实是没有意义的（就算不考虑稳定性），因为Bootkit一定会劫持安软的访问到病毒备份的正常UEFI上，所以 ...

只要获取低级磁盘访问都可以直接修改UEFI，毕竟是存储在硬盘上的

你确定UEFI固件是在硬盘上？拔了硬盘，你看看能不能进入UEFI BIOS

ccboxes

驭龙 发表于 2017-10-25 18:01
你确定UEFI固件是在硬盘上？拔了硬盘，你看看能不能进入UEFI BIOS

首先UEFI和BIOS完全是两个东西，主板上的UEFI固件不能被叫做BIOS。

我的说法的确有些不准确，已经改了。正确的说法是有一部分高级功能（UEFI驱动和应用程序）会在初次运行后解压存储在硬盘的EFI分区上。

其实是没有意义的（就算不考虑稳定性），因为Bootkit一定会劫持安软的访问到病毒备份的正常UEFI上，

这个是没有错的，安软并不能直接访问固件的Flash存储，如果要扫描UEFI固件，流程是先调用固件提供的API将固件数据读取到内存中，然后识别其使用的文件系统，解压，才能提取出真正的固件文件。如果系统已经被感染的话，这个API一定会被劫持。所以在可信环境都不能建立的情况下，安软根本无法确认自己调用API拿到的是不是真正的文件。

驭龙

ccboxes 发表于 2017-10-25 21:20
首先UEFI和BIOS完全是两个东西，主板上的UEFI固件不能被叫做BIOS。

我的说法的确有些不准确，已经改了 ...

UEFI和BIOS当然不是一个类型，是引导的不同方式，问题是单单感染EFI分区的文件，应该很难绕过安全引导，当然安全引导也被破过，但是感染EFI分区应该无法绕过固件上的引导检证，因为固件上是有PK的，我的观点是通过低级磁盘权限无法感染UEFI固件

nwcss177

感谢分享！！！！！

小飞侠.net

pal家族 发表于 2017-10-20 22:02
使用老掉牙的msi ge60回复本帖

哪年买的？我在用联想锋行（2011年6月）再卡也要看看卡饭

pal家族

小飞侠.net 发表于 2017-10-31 21:55
哪年买的？我在用联想锋行（2011年6月）再卡也要看看卡饭

14年初。那时候这个型号应该算是已经淘汰了吧。不太清楚，