出厂安装后,我的电脑上是否还会存在任何类型的恶意软件/rootkit?我的运行 Windows 7 的 dell inspiron 曾经(可能仍然有)某种恶意软件(可能是 rootkit),最糟糕的是它完全控制了我的计算机。我使用 malwarebytes premium、Microsoft security essentials 和 microsoft 恶意程序删除工具。完整扫描后,所有这些都没有任何结果。但我的无线适配器不让我连接到互联网,但我仍然可以看到计算机的进出连接,唯一能阻止这种情况的方法是禁用我的 BIOS 中的适配器。我无法暂停或停止服务和进程。我无法卸载或阻止名称奇怪或没有名称的程序重新安装。我无法查看或更改文件/文件夹。具有管理员权限的额外隐藏用户,我删除了一个,但在我转身之前,就会有另一个取而代之。因此,我按照工厂要求安装了 Windows 7 Home Premium(使用戴尔发送给我的新 Windows 光盘),并且几乎马上,我开始看到一些我原本不会看到的奇怪的进程和 IP 地址连接。
答案1
维基百科关于“宿主保护区”的文章称“NSA 的一些漏洞利用了 HPA[5]应用程序持久性。”根据该陈述(假设维基百科上写的是真的),这意味着设备已被感染,即使整个硬盘的正常数据区域被擦除,恶意软件仍会持续存在。当设备启动时,在 BIOS 尝试与各种硬件通信期间,甚至在操作系统加载之前,设备固件可能会执行恶意指令,甚至可能破坏擦除硬盘然后重新安装操作系统的过程。
“主机保护区”可以包含硬盘驱动器可能用来将坏扇区重新映射到的扇区。这可能是硬盘驱动器中只能通过特定软件访问的部分,通常大多数常用软件(作为操作系统的一部分)都无法访问。例如,虽然 hdparm 可能会在 Linux 中看到这一点,但像 fdisk 这样的常用软件可能完全不知道这个磁盘空间。
防病毒软件可能不太可能检测到此类问题,因为这种与硬件的交互可能特定于硬件型号。这意味着可能没有通用的方法来对此类问题进行标准化检查。这也许就是为什么 F-Secure 防病毒软件的 Mikko Hypponen 谈到“对我们公司以及整个防病毒行业来说,这是一个巨大的失败。”“事实是,消费级防病毒产品无法抵御资源丰富、预算充足的民族国家制造的针对性恶意软件。”(来源:《连线》:为什么像我这样的杀毒软件公司没能赶上一些恶意软件)
那么,这会发生吗?当然会发生。这会发生吗?专家似乎表示,这种情况确实会发生在备受关注的情况下,政府愿意投入大量资源来实现这样的事情。这种事情发生的频率有多高?恶意软件传播范围更广,可能会影响最终用户的系统?这个问题的答案可能很难说,但随着软件被共享,越来越多的恶意人员不断学习,一些能力往往会随着时间的推移而传播。活跃的窃贼所使用的能力不断提高,导致下周的正确答案比上周的情况更令人沮丧。比上周的答案更令人沮丧。