二手设备恶意代码问题

nullptr

有个问题：二手渠道买的PC/小主机/路由器/手机/……等能运行一个操作系统的电子设备，理论上有没有可能有恶意代码被刷进存储芯片里。

一般买了二手电子设备回来，大家都会重装系统/刷固件，但是在其他一些芯片里，比如BIOS/bootloader所在的区域，大家一般都不会去覆写这里，有没有可能存在恶意代码？这样的话即使重装系统，依然会被感染，在用户无感知的情况下获取信息、盗号等等。

以前用微星的主板，重装完系统，第一次开机自动弹出了微星的驱动下载工具，说明主板有办法在用户的操作系统中运行自己的程序。

当然这种操作用来对付一个MJJ大材小用了（但如果数量大还是很可观的），我只是好奇理论上有没有这种可能，或者以前有没有发生过这样的事情。

有没有懂的MJJ来解答下

HOH

nullptr 发表于 2023-10-26 00:21
BIOS不是比操作系统先执行吗，权限大，这其中有没有可能做一些操作，影响到操作系统？H2O大佬来解释下。 ...

首先你的前提就错了，比操作系统先执行是权限大，但是代码有限功能少，想象一台汽车，BIOS的作用是电池，也就只能供电带起引擎（用途）或者把你的车炸了（权限），除此之外什么都做不了，甚至不如MBR像GRUB能做的事多

怎么说呢，你要是问，能不能把EXE藏进BIOS里，可以告诉你，完全可以
但是有这个必要吗，再告诉你，没有

现在的BIOS是UEFI格式，简单说是个树状结构的数据存储格式，只要有空位什么数据都能塞，所以塞EXE的第一个问题就是大小，这取决于FLASH的剩余空间。第二个问题就是你必须还得写多一个程序来写入和读取BIOS的权限，那至少是管理员权限，且一定会触发UAC。第三个问题是，每家主板的BIOS接口不一定相同，你得想办法去适配。第四个问题，万一写入过程死机了，就废了。

综上，你还有什么要妄想的吗？

萌十七

参考： https://zhuanlan.zhihu.com/p/652766930

HOH

但凡你知道BIOS的UEFI格式分区作用都不会问出这种问题

村长

个人来讲有这个能力的个人不会去卖你一个二手小玩具了

nullptr

萌十七 发表于 2023-10-26 00:14
参考： https://zhuanlan.zhihu.com/p/652766930

对，微星的主板应该也是用的这个技术，那这种就不能算本贴问题的情况了，毕竟这个接口也不是谁都能用吧。

nullptr

HOH 发表于 2023-10-26 00:18
但凡你知道BIOS的UEFI格式分区作用都不会问出这种问题

BIOS不是比操作系统先执行吗，权限大，这其中有没有可能做一些操作，影响到操作系统？H2O大佬来解释下。

Yest

不买二手设备 只去泰国买一手的

nullptr

HOH 发表于 2023-10-26 00:44
首先你的前提就错了，比操作系统先执行是权限大，但是代码有限功能少，想象一台汽车，BIOS的作用是电池， ...

感谢H2O大佬的热心回答，我也想继续说下我的妄想。
我们假设UEFI被感染这个操作是买回来之前就发生过的，毕竟正常的用户自己肯定不会这么干，所以第二第三个问题不用考虑。对于第一个FLASH容量问题，现在的主板功能都丰富，板载芯片空间也大，100-200kb塞一个感染后联网下载其他程序的下载器还是可以的。
刚刚搜了一下，“CosmicStrand” UEFI Rootkit 就是这种专门感染UEFI固件的病毒。

微羽

这么做被叔叔逮到不得当典型挂头条么