随着新型技术的发展,以前认为不可能的想法,都会在突然之间,变为可能;就像以前人们认为的软件不可能破坏硬件一样,突然的CIH彻底改变了这一思维;现在,通过在bios中写入脚本来感染笔记本电池,少数电池组,powerkit不光可以在boot阶段运行(bios初始化过程中运行,引导前运行,操作系统电池确认工作都算是boot阶段),还可以在系统运行起来后运行(在ring 0运行)。
新的bootkit藏身之处,部分笔记本的电池有独特的可交互的可以写入的组件,可以写入一个bootkit进去,而且执行权限是非常高的...
写了个测试脚本,在linux下可以成功进行电池的感染了(弄坏了电池...没有适合的bin写入~~因为电池组件第一次运行早于bios初始化完成...不过可以只修改电池某个的handler,这样可以在bios做引导前被调用——坏处是空间有限,复杂的事情搞起来很麻烦)。
Win下需要加载驱动后才能感染,而且十分复杂。
预测下:几年后 中了毒要重装系统要做的事情有:刷新bios(因为有bios rootkit的可能),刷新声卡,网卡,显卡的ROM(各种可怕的kit),清空CPU的SMRAM(SMM Rootkit啊),刷新硬盘的固件(HDDKit的存在),重新激活电池(干掉powerkit),最后完全格式化(完整的格式化,让每个磁道都重新初始化!!)硬盘(防止邪恶的tophet)...然后重装系统...
以上部分言论转引自neeao的“N年后重装操作系统流程图”,下图为neeao所书。
确实难以想像,以后,杀毒软件该如何应对呢?
,Powered By Z-Blog 1.8 Spirit Build 80710
