it-swarm-vi.com

Là làm cho một cài đặt sạch sẽ đủ để loại bỏ phần mềm độc hại tiềm năng?

Định dạng đĩa và cài đặt lại hệ thống từ đầu (sang Ubuntu) có đủ để loại bỏ mọi tiềm năng bị ẩn phần mềm phần mềm gián điệp, keylogger, v.v.?

Hoặc một cái gì đó vẫn có thể tiếp tục cài đặt trong bios hoặc một cái gì đó như thế? Làm gì sau đó?

Để rõ ràng, không quan tâm đến phần mềm độc hại phổ biến. Câu hỏi cụ thể hơn về một máy mà những người khác ngoài người dùng có quyền truy cập vật lý trong nhiều giờ. Vì vậy, khi người dùng quay trở lại không thể chắc chắn rằng không có gì thay đổi, vì vậy người dùng thực hiện cài đặt mới sau vài tuần. Như vậy đã đủ để "dọn dẹp" nó chưa?

Keylogger phần cứng không phải là một phần của câu hỏi này vì chúng nên tiếp tục sau khi cài đặt lại phần mềm.

43
Strapakowsky

Đó là có thể để phần mềm độc hại tồn tại trên một định dạng lại và cài đặt lại, nếu nó đủ khéo léo và tinh vi: ví dụ: nó có thể tồn tại trong bios, trong phần sụn cho các thiết bị ngoại vi (một số thiết bị phần cứng có chương trình cơ sở có thể được cập nhật và do đó có thể được cập nhật với chương trình cơ sở độc hại) hoặc với vi-rút lây nhiễm các tệp dữ liệu trên bộ lưu trữ di động hoặc trên các bản sao lưu của bạn.

Tuy nhiên, hầu hết các phần mềm độc hại không làm bất cứ điều gì khá khó chịu này. Do đó, mặc dù không có gì đảm bảo, việc định dạng lại và cài đặt lại sẽ loại bỏ gần như tất cả các phần mềm độc hại mà bạn có thể gặp phải trong tự nhiên.

Cá nhân, tôi sẽ hài lòng với định dạng lại và cài đặt lại. Nó có lẽ đủ tốt trong thực tế.

40
D.W.

Một kẻ tấn công hơi tinh vi chắc chắn có thể để phần mềm độc hại nằm ngoài tầm với trực tiếp của hệ điều hành. Cài đặt lại hệ điều hành có nghĩa là nhiều nhất là xóa đĩa. Ngay cả ở đó, bạn cần cẩn thận nếu bạn khôi phục bất kỳ dữ liệu nào có thể đã bị xâm phạm.

Phần mềm độc hại có thể được lưu trữ trong một trong nhiều ký ức có thể ghi lại, ẩn giấu trong mọi thành phần của một máy tính hiện đại. Những bộ nhớ này lưu trữ thành phần đó phần sụn và thường được ghi lại; tất cả chỉ cần biết đúng địa chỉ và các nhà sản xuất thường cung cấp các công cụ để nâng cấp chương trình cơ sở, vì vậy tất cả những kẻ tấn công phải làm là thay thế mã của chính mình (hầu như không có mật mã nào).

Ví dụ: có một (và khá đơn giản) khai thác cho Apple , được tìm thấy bởi K. Chen . Bài thuyết trình của Chen cho thấy cách để tận dụng bộ nhớ khả dụng (chỉ còn khoảng 1kB để dự phòng) để mở Shell trên a TCP bằng cách nhập tổ hợp phím hoặc đăng nhập tổ hợp phím trong ngữ cảnh dự kiến ​​sử dụng cụm mật khẩu và phát lại chúng.

Để biết ví dụ khác về lỗ hổng phần sụn trong tự nhiên, hãy thử CVE-2010-0104: Phần mềm quản lý phần mềm quản lý phần mềm quản lý BroadF NetXtreme tràn bộ đệm . Đây là một lỗi trong một số phần mềm Ethernet cho phép kẻ tấn công từ xa kiểm soát phần sụn mạng (và ít nhất là chủ động tấn công tất cả lưu lượng mạng) và có khả năng của toàn bộ máy tính (Tôi không biết có khai thác không cho điều đó, nhưng một khi bạn có quyền truy cập vào bus PCI, tôi nghi ngờ rằng điều đó bị cấm rất nhiều). Điều thú vị là lỗ hổng này dễ khai thác nhất trên máy tính đã tắt, vì lỗi này nằm trong trình phân tích cú pháp giao thức quản lý từ xa, đặc biệt là xử lý Wake-on-LAN.

Một ví dụ khác là khởi động lại bộ điều khiển đĩa cứng (được trình bày tại OHM 201 ).

Câu hỏi này yêu cầu phần sụn trên thẻ video. Như tôi viết, không ai đưa ra một ví dụ về phần mềm độc hại trong tự nhiên, nhưng khả năng chắc chắn là có.

Không có sự bảo vệ thực sự chống lại phần sụn bị xâm nhập trên một PC thông thường. Bạn cần theo dõi từng bộ nhớ flash trong máy tính. Có những nỗ lực để yêu cầu phần sụn được xác thực; trên PC, nỗ lực tiên tiến nhất như vậy là TPM , hiện có thể kiểm tra tính toàn vẹn của BIOS và bộ tải khởi động hệ điều hành, nếu bạn có phần cứng cần thiết và một BIOS hỗ trợ nó. Tôi không biết về PC nơi tất cả các thành phần đều kiểm tra phần sụn của chúng (ít nhất là trước khi chúng được phép truy cập vào bus PCI). Có những nỗ lực tương tự trong thế giới điện thoại thông minh tận dụng tính năng bảo mật của ARM , nhưng một lần nữa, nó khác xa với sự tồn tại của tính năng bảo mật với việc bao gồm tất cả phần sụn trong cơ sở đáng tin cậy.

Trong thực tế, nếu bạn không phải là mục tiêu cao cấp, bạn không cần phải lo lắng nhiều. Không có bất kỳ khai thác nào trong tự nhiên ở cấp độ kịch bản kiddie. Nhưng các khả năng đầy rẫy cho kẻ tấn công của bạn với các kỹ năng kỹ thuật (hoặc phương tiện để thuê một hacker lành nghề).

Các cuộc tấn công phần mềm đang trở nên dễ dàng hơn theo thời gian. Tại Black Hat USA 2012, Jonathan Brossard đã đưa ra một bằng chứng chung về phần mềm độc hại khái niệm cho kiến ​​trúc intel, Rakshasa , có khả năng lây nhiễm hơn một trăm bo mạch chủ khác nhau. Khái niệm bằng chứng (không được phát hành công khai) lây nhiễm nhiều BIOS và các thiết bị ngoại vi phổ biến bao gồm cả chip mạng. Chỉ là vấn đề thời gian cho đến khi các khung nhiễm phần sụn như vậy xuất hiện trong tự nhiên. NSA đã được báo cáo để ưu tiên trồng phần mềm gián điệp trong BIOS.

Ngoài việc ẩn mã của bạn giữa các thiết bị ngoại vi khác nhau và lặt vặt, một kỹ thuật cũ đang trở lại là virus sector khởi động. Torpig/Sinowal/Anserin là ví dụ gần đây nhất về việc sử dụng hợp lý kỹ thuật này. Nói tóm lại, một khi virus bị nhiễm sẽ tải một số mã bootstrapping vào MBR. Nếu kỹ thuật này được sử dụng, người ta có thể mong đợi mã được tải vào MBR để làm như sau:

  1. Kiểm tra xem có virus không
  2. Nếu không, sau đó tải xuống và lây nhiễm lại

Cách duy nhất để làm sạch một cách đáng tin cậy một cái gì đó như thế này để dọn sạch MBR. Hoặc thông qua phân vùng lại, hoặc sử dụng một công cụ như fixmbr. Như vậy, chỉ cần thực hiện cài đặt lại và đôi khi định dạng/cài đặt lại là không đủ.

8
Scott Pack

Phụ thuộc vào những gì bạn coi là "cài đặt sạch".

Bên cạnh những gì D.W. đã đề cập, một số nội dung có thể vẫn còn trong ví dụ "Thông tin khối lượng hệ thống" và/hoặc thư mục tái chế (khôi phục hệ thống và tái chế thư mục bin) trên bất kỳ phân vùng bổ sung nào bạn có thể có. Điều đó có thể dễ dàng kích hoạt lại trên bản cài đặt Windows mới nhưng có lẽ nó sẽ không hoạt động trên Ubuntu. Dù sao, nếu tất cả các phân vùng khác không bị khử trùng, điều đó có nghĩa là vẫn có thể có một số phần mềm độc hại ở đâu đó trong các thư mục này - có thể không làm gì cả, chỉ chờ ngày tốt hơn, để Windows được cài đặt lại]: - nhưng vẫn ở đó .. Những gì tôi sẽ đề nghị bạn làm sau khi cài đặt Ubuntu là cài đặt clamav, cập nhật nó và quét lại mọi thứ bạn có ..

Nếu bạn thực sự làm định dạng mọi thứ, vẫn còn các điểm D.W. thực hiện.

7
pootzko

Mã độc hại bên trong BIOS/phần sụn là có thể, nhưng nhiều mối đe dọa thực tế hơn thường bị bỏ qua. Hai ví dụ ngoài đỉnh đầu của tôi:

Repos/Hình ảnh hệ điều hành: Chúng có thể bị xâm phạm, do đó về cơ bản bạn đang cài đặt lại hệ điều hành hoặc Phần mềm có cửa sau mỗi khi bạn đánh giá lại hệ thống của mình.

Ngoài quản lý băng tần: ILO của HP, IDRAC của Dell hoặc IPMI. Ngay cả khi cài đặt lại hệ thống của bạn, bất cứ ai đã xâm phạm nó đều có thể biết rằng không có quản lý băng tần với quyền truy cập bảng điều khiển có sẵn.

2
Gabriel Talavera

Tôi nghĩ rằng câu trả lời cho điều này phụ thuộc vào bản chất của các mối đe dọa (và kẻ tấn công) mà bạn xem xét trong phạm vi để hành động chống lại PC của bạn.

CHUNG - Nếu bạn thực hiện định dạng lại "thực" cho ổ cứng của máy tính (bao gồm, như một số áp phích khác đã đề cập, các phần khởi động), sau đó cài đặt một hệ điều hành mới (một cái gì đó không phải là Microsoft Windows, hy vọng. .. nhưng ngay cả Windows cũng sẽ làm, miễn là bạn đang cài đặt nó từ DVD chứ không phải là "khôi phục" từ "phân vùng khôi phục" của nhà sản xuất, điều này tất nhiên có thể dễ dàng bị xâm nhập bởi cùng một phần mềm độc hại. tạo lại O/S ở vị trí đầu tiên), sau đó đối với các trường hợp sử dụng MOST trong điều kiện MOST, việc này sẽ cung cấp mức độ tin cậy chấp nhận được rằng máy tính sẽ không bị "xâm phạm" trước khi bạn sử dụng lần đầu .

Bây giờ đã nói rằng, xin lưu ý, vì các áp phích trước đó đã chỉ ra một cách chính xác, chắc chắn có một loạt các cuộc tấn công giả mạo phần mềm và phần mềm/BIOS tiên tiến, có thể làm tổn hại đến cơ sở hạ tầng cơ bản của máy tính, do đó thực sự chỉ có 100% hành động an toàn chỉ là để rác nó và đi đến một PC khác.

Theo kinh nghiệm của tôi, những kiểu tấn công này rất hiếm, nhưng nếu (ví dụ) bạn đang ở trong một môi trường có nguy cơ cao (ví dụ: bạn là người bất đồng chính kiến ​​Trung Quốc hoặc Iran, thì bạn là Edward Snowden, v.v.) một cơ hội ... đặc biệt nếu có khả năng kẻ tấn công có thể, vào một lúc nào đó, có quyền truy cập vật lý vào PC. (NSA là chuyên gia trong việc xây dựng các thỏa hiệp về phần cứng và BIOS mà hầu như không ai có thể ngoại trừ một cơ quan tình báo cấp quốc gia khác, phát hiện hoặc loại bỏ.)

Ngẫu nhiên, tôi muốn lưu ý một mối đe dọa khác mà quá nhiều người quên, khi khởi tạo PC "mới": cụ thể là "sử dụng cùng một mật khẩu truy cập cục bộ, đặc biệt là mật khẩu tài khoản quản trị viên, như tôi đã sử dụng trên PC cuối cùng". Logic đằng sau điều này rất đơn giản: "Tôi đặt một cửa hậu trên PC 'cũ' của bạn và chặn mật khẩu của bạn, vì vậy khi tôi thấy PC 'mới' của bạn hiển thị trên Internet ... hãy đoán mật khẩu nào là mật khẩu đầu tiên Tôi sẽ thử, khi tôi cố gắng đột nhập vào PC 'mới'? "

Nhân tiện, đây là một mánh khóe bẩn thỉu: thiết lập một tài khoản "giả", không có đặc quyền và được theo dõi cẩn thận, sử dụng mật khẩu "cũ" ... và chờ xem điều gì sẽ xảy ra. Trên thực tế, bạn đang thiết lập một "honeypot" cục bộ để thu hút những kẻ bất lương đã xâm phạm PC "cũ" của bạn. Dĩ nhiên, luôn có cơ hội khai thác độ cao đặc quyền, vì vậy bạn nên thực sự cẩn thận để khóa tài khoản "hình nộm" để ngay cả khi ai đó xác thực thành công, họ không thể đi bất cứ đâu hoặc làm gì.

Vấn đề là, thay đổi tất cả mật khẩu của bạn, ngay lập tức, nếu bạn nghĩ rằng bạn đã bị xâm phạm. Và đừng tin tưởng bất cứ điều gì điều đó có thể đã bị tổn hại về thể chất. Làm điều đó và bạn sẽ được an toàn khỏi (gần như) tất cả các mối đe dọa có thể.

1
user53510

Trong khi gắn cờ một câu hỏi khác là trùng lặp, tôi cũng đang viết câu trả lời, vì vậy tôi sẽ để lại câu hỏi này trong trường hợp hữu ích cho ai đó :

Thành thật mà nói, điều đó sẽ thoát khỏi chủ yếu là tất cả loại phần mềm độc hại.

Nhưng.

<chế độ hoang tưởng>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Ẩn dữ liệu trong các khu vực ổ cứng "không thể truy cập": https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Những người khác mà tôi có thể bị thiếu.

</ chế độ hoang tưởng>

Để tóm tắt. Có là những cách lây nhiễm sẽ tồn tại sau khi thực hiện các quy trình cài đặt lại đó, nhưng để giữ nó " real", với rằng bạn sẽ thoát khỏi hầu hết các trường hợp nhiễm phần mềm độc hại tiêu chuẩn.

( ngay khi bạn không bị nhiễm trong quá trình cài đặt một lần nữa. Trình cài đặt hệ điều hành có phần mềm độc hại/phần mềm quảng cáo, chẳng hạn như các "trình kích hoạt" và như vậy ...)

0
BBerastegui

Thói quen của tôi là không khởi động khu vực khởi động và cập nhật (hoặc chỉ phản xạ lại) BIOS trong những trường hợp như vậy, chỉ để bảo vệ chống lại sự kiên trì đặc biệt kiên cường. Hầu như không cần thiết mọi lúc, vì thông thường vi-rút vẫn tồn tại trong mạng hoặc trong HĐH, nhưng nếu bạn muốn chắc chắn, bạn cũng nên đề phòng các loại kiên trì khác.

0
Falcon Momot