此恶意软件会感染您的主板，几乎不可能删除

Miostartos

pal家族 发表于 2022-7-28 20:19
跨版块长臂点名批评TPlink和Dlink

不不，我喷的是一些早期的AMD zen板子，板载16Mrom，导致后期的BIOS空间紧巴巴甚至要精简高级UI

PanzerVIIIMaus

确实，多年前确实有新闻提及带毒的二手主板，但没留意当时植入的病毒基于UEFI还是BIOS

00006666

PanzerVIIIMaus 发表于 2022-8-6 22:01
确实，多年前确实有新闻提及带毒的二手主板，但没留意当时植入的病毒基于UEFI还是BIOS

卡巴斯基的完整报告，感兴趣的话可以去看一下

卡巴斯基分析报告:  https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

fzp070

00006666 发表于 2022-7-28 09:12
卡巴斯基披露的那种类似于以前那种谍影木马，可能是通过二手主板传播，木马作者需要硬件接触写入固件来植 ...

我不太懂这些，只是想请教下如下几点，有没有被利用、成为病毒木马写入固件的途径呢？

1、BIOS的更新写入，也可以在Windows下进行啊，不是非得硬件接触才能写入固件，如下链接【联想拯救者2022款】的BIOS，可以自己下载到电脑，用户自行手动安装啊。会不会存在利用这种的可能？https://newsupport.lenovo.com.cn ... .html?driveId=95806


2、还是以联想为例，联想的电脑没有开启XMP，默认DDR5频率为4400MHz，然后用户想恢复到内存默认频率4800MHz，所以就去下载网上的各种修改版BIOS安装，会不会这种修改版BIOS就内置有病毒呢？我之前搜过好像有这种非官方的修改版BIOS(但没找到)。

另外再如以下链接这种解锁BIOS的方法(应该也是种写入修改BIOS的方法)，木马有没有可能通过这种途径写入？
https://github.com/CalvinXu17/Lenovo-7000k-Unlock-BIOS  


3、按36楼的说法，现在新一点主板BIOS签名验证不通过就不给刷，那为啥上述链接的能够安装 并修改BIOS？

现在新一点的主板BIOS都是通过Capsule方式更新了，Capsule签名验证不通过就不给刷，除非用编程器

hiduwHUE

哈人
网络安全威胁越来越严重了

syswow64

fzp070 发表于 2022-8-7 14:07
我不太懂这些，只是想请教下如下几点，有没有被利用、成为病毒木马写入固件的途径呢？

1、BIOS的更新 ...

1：win下的那个程序其实不是真正写入，我的ThinkPad也能win下更新BIOS，只是先解压到一个地方重启再刷写，华硕是没有这个功能的，必须在BIOS里选择更新，验证不过不给刷的。我使用过的只有上古主板技嘉Z68可以在Windows下直接刷写固件。


2：你给的这个链接并没有修改BIOS，人家自己都说了只是更改NVRAM变量。之前51nb有老多人折腾魔改BIOS，最近我研究的黑苹果也有好多人动BIOS，显卡vBIOS是可以自己刷的，主板BIOS大部分得上编程器。当年UEFI没普及的时候，有人搞出了一个高仿Mac的BIOS，能比引导器更好的实现完美黑苹果，UEFI时代之后就没人这么做过了，固件不兼容黑苹果想解决方法就一个，换主板。

比如这个帖子https://bbs.pcbeta.com/viewthread-1940896-1-1.html，为了上魔改U，只能用编程器刷修改过CPUID的BIOS。会刷BIOS的人太少了，通过这种方式传播病毒，恐怕感染数上三位数都难。

看看你给的链接里的C++代码


https://docs.microsoft.com/zh-cn ... redirectedfrom=MSDN
再看看SetFirmwareEnvironmentVariableA的API用法，很明显就不是写固件的东西。
            

  macOS Monterey 【 12.5 】

Safari 15.6【AppleWebKit 605.1.15 】

Intel（R）Core（TM）CPU【I7-12700K @ 5.0 GHz】

fzp070

syswow64 发表于 2022-8-8 16:35
1：win下的那个程序其实不是真正写入，我的ThinkPad也能win下更新BIOS，只是先解压到一个地方重启再刷写 ...

感谢解答！

第2点了解了。

第1点还有点疑问，就是Win下更新BIOS，是要重启再刷写，包括联想拯救者、戴尔外星人都这样的。因为我不太懂这方面，所以想问下：

既然有这种 官方BIOS给下载刷入，也能刷成功，会不会有人下载后去解包反汇编查看源代码之类的？从中获知到官方BIOS刷入的验证机制或签名什么的？

一旦破解掉验证机制，不就可以随便自己改BIOS并提供给大家用了吗？

产生这种想法，是因为我看论坛经常有对各种病毒的分析，其中还会展示病毒相关源代码，火绒、360还有些个人都有发过这种分析，说明是有方法能看到这些信息的，所以是不是官方BIOS的源代码也能看到，然后进行改写，只要不动验证相关的内容？

syswow64

fzp070 发表于 2022-8-8 16:54
感谢解答！

第2点了解了。

程序既然公开出来了，那别人想看是肯定拦不住的，现在对安全机制或者密码算法的一般要求都是在了解加密机制的情况下，也不可以破解此机制，公开安全机制后还没有遭到破解，这才能充分说明这个机制是可靠的，想通过藏住代码来防止出现漏洞是迟早会翻车的，比如苹果iPhone的固件，平时藏着掖着，结果被人用DFU漏洞把固件内容扒出来了，就被找到了影响多代设备的大漏洞。


如果你能破掉这个安全机制，就可以顶会走起了，到时候记得发个预印本给我瞻仰一下。。。


改写不动验证相关的内容？验证肯定都是和固件内容绑定的，你哪怕修改了一个字节都会过不了验证，要不现在的数字证书都是干什么吃的。如果你能做到改写之后验证不出来，那可能就不只是一篇顶会了，那就颠覆了现有的数学学科的根基了。
            

  macOS Monterey 【 12.5 】

Safari 15.6【AppleWebKit 605.1.15 】

Intel（R）Core（TM）CPU【I7-12700K @ 5.0 GHz】

fzp070

syswow64 发表于 2022-8-8 17:07
程序既然公开出来了，那别人想看是肯定拦不住的，现在对安全机制或者密码算法的一般要求都是在了解加密机 ...

呃，我不会，我就是想了解会不会有这种人，能研究破解掉这种安全机制

另外还有种可能，就是BIOS相关行业的从业人员，将UEFI BIOS的刷写验证机制给泄露或者出卖，有没有可能呢？

syswow64

fzp070 发表于 2022-8-8 17:11
呃，我不会，我就是想了解会不会有这种人，能研究破解掉这种安全机制

另外还有种可能，就是BIOS相关行 ...

呃，你还是没明白，这个东西不用泄露，UEFI安全启动机制都是公开的。
https://edk2-docs.gitbook.io/und ... gned-capsule-update
https://zhuanlan.zhihu.com/p/455132598

你可以参考学习一下capsule的机制，主板上的固件本身就内置了OEM提供商的公钥，新刷写的BIOS固件必须有对应的证书并使用OEM的私钥签名，才可以通过验证刷写，你可以改BIOS固件文件里的签名根，但你改不了主板固件里的内置OEM公钥，除非上编程器。


还有补充一下你之前的第一点，capsule的固件更新都是先把新固件发送给已有固件，由现有固件来验证刷写，而不是系统里直接写。


随便搜搜找到了这个
https://www.cnblogs.com/B1ue/p/8461720.html
这个不是没人研究过，反正机制都是公开的，简单的逆向一下就行了，但是你没有OEM私钥知道机制也没用，除非你去华硕搞到私钥，不过在任何公司这种签名私钥都是要严格保密的，要是私钥泄露了绝对是个大新闻。


看起来你的计算机知识非常有限，以至于无法理解前面大佬说的内容

            

  macOS Monterey 【 12.5 】

Safari 15.6【AppleWebKit 605.1.15 】

Intel（R）Core（TM）CPU【I7-12700K @ 5.0 GHz】