只需擦除硬盘并重新安装 Windows 即可删除大多数病毒。那么为什么没有更多病毒创建有效载荷并将其刷新到 BIOS 芯片?这样,它们就可以在每次启动时重新下载病毒,而用户无法将其删除。那么为什么 BIOS 不经常用作攻击媒介呢?
答案1
因为病毒根本无法做到这一点。
刷新 BIOS 需要管理员访问权限,这是病毒通常无法获得的。
此外,每个 BIOS 都不同,刷新 BIOS 意味着您需要事先知道目标是什么。当然,您可以创建一个 1GB 的病毒并包含 1000 个不同的 BIOS,但开发这样的病毒需要耗费大量资源,而且您的病毒真正成功的机会非常小,因此不值得付出努力,更不用说 BIOS 的寿命约为 3 到 5 年,因为到那时,带有这些 BIOS 的主板通常会被带有不同 BIOS 的新主板所取代。
如果有人想要攻击特定的电脑,那么入侵系统并远程破坏它要比编写病毒并希望它感染目标机器容易得多(如果这是你想要实现的)。
最后,假设事情就这么简单。病毒的目的是什么?它需要自我传播,而不是持续感染主机。你在这里谈论的是恶意软件,而不是病毒。恶意软件的目的是不断将数据发送回其主服务器收集数据,或者可能是一种勒索软件(仍然不是病毒)。但同样的事情也适用于这里。由于 BIOS 的差异以及访问它们的难度,你无法大规模攻击所有系统。如果你将目标改为一个系统,那么黑客的成功率将远高于启动恶意软件并希望它到达目标。
答案2
因为刷新固件绝非易事。
在 UEFI 中,固件更新总是在刷新之前进行验证,甚至是预启动,因此生成的 BIOS 必须符合 UEFI 规范和制造商硬件,否则将会失败并且不会被写入。
许多现代系统都实现了双 BIOS,以便在闪存出现故障时进行保护和恢复。
现代的UEFI bios 为操作系统提供安全验证,这样操作系统可以在启动之前要求已知的证书和签名。
英特尔 Boot Guard是一个 CPU 扩展,可以防止使用非法固件进行启动。
硬件组件的组合有成千上万种,因此攻击者需要维护一个庞大的精心制作的恶意固件库。这种攻击仅限于民族国家行为者。
因此,这些攻击无法扩展,需要付出巨大的努力和复杂性,并且可以轻松恢复。
现在,关于您对存储持久性的评论,请理解固件代码不存储在与其配置相同的位置或方式。固件闪存是全有或全无的,因此恶意软件无法将自身添加到正在运行的配置中。用于配置的 CMOS 存储不会存储二进制可执行信息,并且操作系统无论如何都无法写入 CMOS,它必须由固件本身完成。
请注意,实现固件恶意代码的实际价值是在操作系统堆栈的最低级别实现 rootkit/bootkit 代码,并阻止系统意识到它在那里,这是非常复杂的东西。或者简单的暴力拒绝服务,这可以更容易地通过其他方式执行。