我感染了这种恶意软件:
https://www.blackhat.com/presentations/bh-usa-09/WOJTCZUK/BHUSA09-Wojtczuk-AtkIntelBios-SLIDES.pdf
如果我尝试将 BIOS 更新为安全发行版,它能够用受感染的 BIOS 重新刷新我的 BIOS。有人对如何删除这样的问题有什么建议吗?我尝试通过外部 spi 闪存器重新刷新,但它仍然重新启动两次以重新刷新恶意 BIOS,我检查了安全 BIOS 的校验和,以及重新启动后的校验和,以验证它是否使用恶意映像重新刷新。
该代码与 bios 映像解析器挂钩,由于 bios 代码的该部分未签名,因此您可以在那里运行任何您想要的内容。如本文第 54 页所述https://www.blackhat.com/presentations/bh-usa-09/WOJTCZUK/BHUSA09-Wojtczuk-AtkIntelBios-SLIDES.pdf。在代码的 BMP 图像解析器部分,您可以挂接您的 bios 比较和刷新代码,这意味着在刷新锁和所有内容应用于 bios 之前,它可以继续刷新自身并绕过所有这些安全保护。这是您从 Windows 运行的可执行 bios 刷新程序的一个漏洞,如果可执行刷新程序不必重新启动并利用此漏洞,它们还能如何从 Windows 工作?我拍摄了一个视频,显示它重新启动 3 次以刷新 bios,第一次重新启动是使用安全的 bios 代码,然后它再次重新启动以刷新它,然后再次重新启动以确认恶意软件已到位。这是视频:https://youtu.be/CdpAXuSkI9o