如何检测服务器主板上的 Bios Rootkit？

Question

那么，显而易见的答案就是将您拥有的 BIOS 与制造商发布的 BIOS 进行比较……当然，这只有当你的制造商发布的 BIOS 不包含 rookit 时才有效。

除此之外，您剩下的话题真的可以写几本书……或者转化为价值数百万美元的 IT 安全咨询，所以这个主题太广泛了，无法在这里全部涵盖，但它与检测任何其他 rootkit 并没有什么不同 - 您可以在较低的级别检查日志和内存内容，并寻找系统做不应该做的事情的证据。John Heasman 在 2006 年的 Blackhat Europe 会议上就 ACPI BIOS rootkit 做了一个有趣的演讲，这似乎与此相关. (PDF)

但最重要的是，这仍然是一种技术先进且相对罕见的恶意软件，用于针对高价值目标，而这些目标可能不包括您。如果您确实有理由担心成为此类攻击的目标，您需要聘请一些专门的安全资源，并向他们咨询有关 BIOS 恶意软件的问题。请记住，安全是一种保险。购买价值 10,000 美元的壁式保险箱来保护一叠 1 美元的钞票是没有意义的，就像除非您要保护的数据非常有价值，否则花数十万美元聘请安全团队是没有意义的。

信息安全 Stack Exchange 网站可能更适合你对这个话题的任何进一步疑问，而且已经有一些关于 BIOS 恶意软件的问题和答案，可能会引起你的兴趣。

Answer 1

那么，显而易见的答案就是将您拥有的 BIOS 与制造商发布的 BIOS 进行比较……当然，这只有当你的制造商发布的 BIOS 不包含 rookit 时才有效。

除此之外，您剩下的话题真的可以写几本书……或者转化为价值数百万美元的 IT 安全咨询，所以这个主题太广泛了，无法在这里全部涵盖，但它与检测任何其他 rootkit 并没有什么不同 - 您可以在较低的级别检查日志和内存内容，并寻找系统做不应该做的事情的证据。John Heasman 在 2006 年的 Blackhat Europe 会议上就 ACPI BIOS rootkit 做了一个有趣的演讲，这似乎与此相关. (PDF)

但最重要的是，这仍然是一种技术先进且相对罕见的恶意软件，用于针对高价值目标，而这些目标可能不包括您。如果您确实有理由担心成为此类攻击的目标，您需要聘请一些专门的安全资源，并向他们咨询有关 BIOS 恶意软件的问题。请记住，安全是一种保险。购买价值 10,000 美元的壁式保险箱来保护一叠 1 美元的钞票是没有意义的，就像除非您要保护的数据非常有价值，否则花数十万美元聘请安全团队是没有意义的。

信息安全 Stack Exchange 网站可能更适合你对这个话题的任何进一步疑问，而且已经有一些关于 BIOS 恶意软件的问题和答案，可能会引起你的兴趣。

如何检测服务器主板上的 Bios Rootkit？

答案1

相关内容