杀软能查杀基于 UEFI 引导的病毒吗？

隔山打空气

其实MDAV也能扫UEFI（）

不过效果好不好就不知道了

pal家族

雪羽天歌 发表于 2024-11-24 07:40
@神秘鬼
谢谢大佬，目前只要能确定是否安全就行了，如果不安全那就再刷一遍备份的原版固件

那个不是一回事儿哈

驭龙

隔山打空气 发表于 2024-11-24 11:19
其实MDAV也能扫UEFI（）

不过效果好不好就不知道了

似乎检测UEFI的rootkit，而且是行为分析级别的，如果是我这种安全核心电脑，更是跟硬件芯片联动的防御，但前提是必须主动模式的MDAV＋MDB才能最大化效果

yxzdennis

神秘鬼 发表于 2024-11-23 15:49
卡巴未必扫的出来，能扫出来卡巴大概率能干掉，别的杀毒软件可以扫的出来，但未必能干掉

卡巴扫不出来大概率绝大部分都扫不出来了  但扫出来也没啥用啊 又不能剔除固件中的恶意代码

yxzdennis

啥主机啊 还必须解锁才能做系统

a8855942

想到过去的CIH病毒了。

GalaxyS24Ultra

有TPM2.0无需担心此问题，此问题已经灭绝，或者PE里全盘覆写解决100%的问题

雪羽天歌

@驭龙
@神秘鬼
@pal家族
@chx818
@dongwenqi
@PanzerVIIIMaus
@隔山打空气
@yxzdennis
@a8855942
@GalaxyS24Ultra

谢谢各位，旧电脑是硬件很老的J1800小主机，并没有TPM。

关于帖子标题的疑问，已在卡巴官网提工单

问：“卡巴斯基全方位在全盘扫描时会查杀UEFI分区吗？”
卡巴客服答：“您好，如果该UEFI固件包含了恶意代码的话，那么卡巴斯基全盘扫描是会对其进行查杀的，请知悉。”

1518589226

雪羽天歌 发表于 2024-11-26 14:54
@驭龙
@神秘鬼
@pal家族

直接PE 格掉ESP，然后新建不就完事了，，

驭龙

pal家族 发表于 2024-11-23 20:43
没必要纠结了，就算扫出来也杀不掉的。我说的是带毒固件。。。。运行在内存的病毒是有可能可以扫描出来的。 ...

哇哦，卡巴真牛，居然是监控级别的UEFI固件检测，真是让我万万没想到啊

近年来不断增长的一种威胁形式是隐藏在固件中的 Rootkit 带来的威胁。这种类型的恶意软件非常危险，因为它会在操作系统引导的早期阶段开始执行，因此，即使在格式化磁盘并重新启动操作系统之后，恶意代码仍会保留在系统中。2015 年发现了第一个 UEFI Rootkit。在随后的几年中，已经检测到使用这种 rootkit 发起的众多成功的 APT 攻击。

为了应对这种威胁，我们的反 Rootkit 技术组合中包括一个固件扫描程序，该程序可在关键区域扫描程序运行时分析 ROM BIOS 的内容。该技术可用于通过 UEFI 模式或传统模式 (BIOS) 引导的系统。

固件扫描程序的操作如下：

• ROM BIOS 的内容由特殊驱动程序转储。
• 该扫描程序使用特定于 rootkit 检测的启发法检查转储。
• 如果检测到恶意代码，则会通过警报通知用户，该警报会显示恶意软件的位置（系统内存）和系统引导模式（UEFI 模式为“MEM:Rootkit.Multi.EFI.a”裁定，传统模式为“MEM:Rootkit.Multi.BIOS.a”）。
• 由于重写 ROM BIOS 是潜在的危险操作，并且取决于平台，因此不会针对此类感染执行自动修复。如果检测到 rootkit，则应联系我们的支持服务，以获取有关如何手动重写 ROM BIOS 的说明。在最坏的情况下，您可能需要更换主板。
  

Kaspersky Internet Security 的 UEFI rootkit 检测警报

Kaspersky 的固件扫描程序可检测所有已知的 UEFI rootkit，包括 Hacking Team (VectorEDK)、Lojax (DoubleAgent) 和 Finfish。Kaspersky 和其他供应商的专家对新的 rootkit 进行研究后，会定期更新专用启发法。固件扫描程序用于我们的所有主要产品（Kaspersky Anti-Virus、Kaspersky Internet Security、Kaspersky Total Security、Kaspersky Endpoint Security for Business，等等）。