查看: 3923|回复: 12
收起左侧

[讨论] 固件中毒

[复制链接]
斩风123
头像被屏蔽
发表于 2023-4-18 02:55:17 | 显示全部楼层 |阅读模式
本帖最后由 斩风123 于 2023-4-18 03:31 编辑

突然扫出来的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yfdyh000
发表于 2023-4-18 06:50:43 | 显示全部楼层
设备的BIOS中内置了一个强大的远程程序。
刷干净的BIOS可以解决,但操作不当可能变砖。

https://forum.eset.com/topic/16952-i-need-some-advice/
https://www.absolute.com/platform/persistence/
HuaYa
发表于 2023-4-18 07:21:34 | 显示全部楼层
这是怎么中的
玻璃钢耗子
发表于 2023-4-18 07:31:25 | 显示全部楼层
eset有时候发神经,你再换个杀软试试。我的所有破解软件,它都是大惊小怪。再说官网的东西应该问题不大
cch505
发表于 2023-4-18 08:10:01 | 显示全部楼层
你eset的杀软怎么发到卡巴的版块了 建议你可以用卡巴再扫描下 看看是不是误报
huangzihang
发表于 2023-4-18 08:22:02 | 显示全部楼层

Absolute Home & Office(最初称为CompuTrace和LoJack for Laptop)是一款专有的笔记本电脑盗窃恢复软件(笔记本电脑跟踪软件)。持久安全功能内置于设备的固件中。Absolute Home & Office有一个调查和恢复团队,该团队与执法机构合作,将笔记本电脑归还给其所有者。[1][2][3][4]绝对软件于2005年从车辆回收服务LoJack授权LoJack名称。[5]

卡巴斯基实验室对绝对家庭和办公室(LoJack)的分析表明,在极少数情况下,该软件是在未经用户授权的情况下预先激活的。软件代{过}{滤}理的行为类似于 rootkit,在启动时将小型安装程序代{过}{滤}理重新安装到 Windows 操作系统中。此安装程序稍后通过互联网从 Absolute 的服务器下载完整的代{过}{滤}理。该安装程序容易受到某些本地攻击[6][7]以及来自可以控制受害者网络通信的黑客的攻击。[8]安装后,Absolute Home & Office 代{过}{滤}理通过对“监控中心”进行初始调用来使自己持久化。[8] 该软件可以通过从命令服务器下载的模块进行更新。[8] 后续联系每天进行,检查以确保代{过}{滤}理保持安装状态并提供详细数据,例如位置、用户、软件和硬件。

如果设备被盗,所有者可以联系 Absolute。然后,下次受保护设备连接到互联网时,它会切换到盗窃模式并加速监控中心通信。调查和恢复团队使用密钥捕获、注册表和文件扫描、地理位置和其他调查技术对计算机进行取证挖掘。该团队与当地执法部门合作,恢复受保护的设备,并向警方提供证据以追究刑事指控。如果发生盗窃,用户可以登录其在线帐户以远程锁定计算机或删除敏感文件以避免身份盗用。[9]

Absolute Home & Office预装在一些宏碁,华硕,富士通,松下,东芝,戴尔,惠普和联想机器中。[10] 与其他一些PC制造商不同,Apple不允许在BIOS中安装该软件。[11] Absolute Home & Office可以安装在Apple电脑上,但它将存储在硬盘驱动器上而不是BIOS上。如果更换或重新格式化硬盘驱动器,软件将丢失。

默认情况下,BIOS 服务处于禁用状态,可以通过购买 Absolute Home & Office 许可证来启用;启用后,BIOS 会将 BIOS 闪存 ROM 中名为的下载程序代{过}{滤}理复制到 Windows 系统上的 System32 文件夹中。在一些东芝笔记本电脑上,由东芝在出厂时预装在设备的硬盘上。反过来,将下载完整的代{过}{滤}理软件并安装 Windows 服务。从那时起,将每天给Absolute Software服务器打电话回家一次,查询可能的盗窃报告,并传输系统扫描结果,IP地址,用户名和机器名称以及位置数据,它通过点击配备GPS硬件的机器上的GPS数据流或通过三角测量附近可用的WLAN接入点来获得这些数据, 通过提供WLAN ID和信号强度,以便绝对软件服务器可以使用Mexens技术数据库对设备进行地理定位。[需要引用]如果 Absolute 收到盗窃报告,可以远程命令该服务每 15 分钟给家里打电话一次,安装额外的第三方供应商软件,例如键盘记录器或取证包,制作屏幕截图以及各种其他操作。rpcnetp.exerpcnetp.exerpcnetp.exerpcnet.exerpcnet.exe

Absolute Home & Office还支持英特尔的AT-p防盗保护方案。如果无法在可配置的时间间隔内呼叫总部,则下次重新启动时将需要特殊的BIOS密码。在这种情况下,可以将其配置为立即关闭计算机的电源,以强制重新启动。

持久性
作为系统 BIOS/UEFI 的一部分安装的持久性模块可检测何时删除了 Absolute Home & Office 软件。它确保即使更换硬盘驱动器或刷新固件,软件也会自动重新安装。绝对软件与许多原始设备制造商合作,将这项技术嵌入宏碁、华硕、戴尔、富士通、惠普、联想、Motion、松下、三星和东芝的计算机、上网本、智能手机和平板电脑的固件中。[注12]Absolute Home & Office客户端具有类似木马和rootkit的行为,但其某些模块已被多家防病毒供应商列入白名单。[6][8]早些时候,它被检测为TR/Hijack.Explor.1245或W32/Agent.SW!tr。[需要引用]

在2009年的黑帽简报会议上,研究人员表明,嵌入在BIOS中的Computrace/LoJack代{过}{滤}理的实现存在漏洞,并且这种“对防盗代{过}{滤}理的可用控制允许一种高度危险形式的BIOS增强rootkit,可以绕过所有芯片组或安装限制,并重用此类软件中提供的许多现有功能。[13][14][15] 绝对软件拒绝了研究中的说法,指出“Computrace模块的存在绝不会削弱BIOS的安全性”。另一位独立分析师证实了这些漏洞,指出恶意软件劫持攻击将是“高度奇特的攻击”,并建议更大的担忧是精明的小偷可能会禁用电话回家功能。[16]后来,Core Security Technologies通过在其网页上公开提供几个概念证明,视频和实用程序来证明研究人员的发现。[注17]

第一阶段 CompuTrace 代{过}{滤}理的本地和远程利用,用于在激活或重新安装操作系统后安装完整版本,在 BlackHat USA 2014 上进行了演示。此滴管代{过}{滤}理被多家防病毒供应商列入白名单,可用于设置一些本地攻击,例如从不同的服务器下载和安装软件。[8]ESET在野外发现了一个名为LoJax的rootkit的第一次攻击,该攻击感染了易受攻击的LoJack配置。[注18]
梦未远离
发表于 2023-4-18 08:43:26 | 显示全部楼层
是硬盘上的UEFI启动分区有病毒,不是主板固件中毒,这时候打开主板的安全启动就很重要了。
斩风123
头像被屏蔽
 楼主| 发表于 2023-4-18 10:47:47 来自手机 | 显示全部楼层
这个是不是硬盘上的,如果是我就重新分区格式化硬盘
小fafan
发表于 2023-4-18 12:24:09 | 显示全部楼层
只是潜在而已
a27573
发表于 2023-4-18 16:17:32 | 显示全部楼层
@tdsskiller
虽然看起来只是认为这个版本有漏洞
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:08 , Processed in 0.133660 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表