查看: 1346|回复: 1
收起左侧

[讨论] 警告:启用BlackLotus Bootkit防御后,大部分PE都不可用

[复制链接]
AlphaRabbit
头像被屏蔽
发表于 2023-6-18 09:18:17 | 显示全部楼层 |阅读模式
BlackLotus我相信在样本区呆过的人都知道这是啥。

什么你说你不知道?!那,看这里(别问我为啥放的是日语链接,最近认识了个樱花妹好闺蜜,所以我在学日语):「BlackLotus」 UEFIブートキット:いま、そこにある現実の危機

然后微软也有对应的BlackLotus Bootkit防御措施:KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法

但是,如果你照着做了,你会发现:大部分Windows PE全都没法用了(会提示安全启动验证失败),这是为什么呢?

答案:微软将老版本Windows UEFI引导程序加入了“吊销列表”,如果你照着步骤操作的话,这些旧版本Windows UEFI引导程序的哈希和签名都会进入主板的NVRAM(非易失性存储器)中,然后在你清除NVRAM之前,这些参数依旧会存在。

(不同机器清除NVRAM的方法不一样,有些台式机压根就没这东西,你抠了CMOS电池,所有UEFI变量就全部丢失恢复默认了。而笔记本的话,扣电池没用的说~)

而大部分PE根本没有更新相关补丁,她们还在使用老版本的Windows UEFI引导程序,因此就会被更新了吊销列表的UEFI固件拦截。

就是这样。



shandian281
发表于 2023-6-18 11:04:07 | 显示全部楼层
感谢分享。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:53 , Processed in 0.124988 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表