僵尸垃圾软件:windows平台二进制表的工作原理

当时很少有人注意到,但微软在Windows8中增加了一项新功能,允许制造商用垃圾软件感染UEFI固件。Windows将继续安装和恢复这个垃圾软件,即使你执行了一个干净的安装。...

僵尸垃圾软件:windows平台二进制表的工作原理

当时很少有人注意到,但微软在Windows8中增加了一项新功能,允许**商用垃圾软件感染UEFI固件。Windows将继续安装和恢复这个垃圾软件,即使你执行了一个干净的安装。

这一功能在windows10上仍然存在,微软为什么会给个人电脑**商如此大的权力,这绝对是个谜。它强调了从微软商店购买个人电脑的重要性——即使执行一个干净的安装也可能无法摆脱所有预装的臃肿软件。

wpbt 101

从Windows8开始,PC**商可以在PC的UEFI固件中嵌入一个程序(基本上是一个Windows.exe文件)。这存储在UEFI固件的“Windows平台二进制表”(WPBT)部分中。每当Windows启动时,它都会查看此程序的UEFI固件,将其从固件复制到操作系统驱动器,然后运行它。Windows本身无法阻止这种情况的发生。如果**商的UEFI固件提供了它,Windows将毫无疑问地运行它。

联想的lse及其安全漏洞

相关:如何支付电脑**商使你的笔记本电脑更糟

如果不注意到引起公众注意的案例,就不可能写出这个有问题的功能。联想推出了一系列支持“联想服务引擎”(LSE)的PC。以下是联想声称的受影响个人电脑的完整列表。

当程序由Windows8自动运行时,联想服务引擎会下载一个名为OneKey Optimizer的程序,并向联想报告一些数据。联想建立了系统服务,专门用于从互联网上下载和更新软件,这样就不可能删除它们——它们甚至会在Windows完全安装后自动恢复。

Advertisement

联想更进一步,将这种阴暗的技术扩展到Windows7上。UEFI固件检查C:\Windows\system32\autochk.exe文件,并用联想自己的版本覆盖它。这个程序在启动时运行以检查Windows上的文件系统,这个技巧让联想也可以在windows7上进行这种讨厌的操作。这表明WPBT甚至没有必要——PC**商可以让firmware覆盖Windows系统文件。

微软和联想发现了一个主要的安全漏洞,可以利用它,所以联想谢天谢地停止了运送这种讨厌的垃圾电脑。联想提供了一个将从笔记本电脑中删除LSE的更新,以及一个将从台式电脑中删除LSE的更新。但是,这些更新并不是自动下载和安装的,因此许多受影响最大的联想电脑将继续在其UEFI固件中安装这些垃圾软件。

这只是另一个严重的安全问题,从个人电脑**商,使我们的电脑感染了Superfish。目前还不清楚是否有其他个人电脑**商以类似的方式滥用WPBT在他们的一些个人电脑上。

007Ys3FFgy1gsh50ipmbyj60ba097aab02

微软对此有何评论?

正如联想所言:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not c***istent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

换言之,根据微软最初的WPBT功能设计和指导方针,使用WPBT从互联网下载junkware的联想LSE功能是允许的。指导方针现在才得以完善。

微软对此并没有提供太多信息。在微软的网站上只有一个.docx文件,甚至连一个网页都没有,里面有关于这个功能的信息。你可以通过阅读这份文件来了解你想了解的一切。它以持久性防盗软件为例,解释了微软包含此功能的基本原理:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration.  One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

在联想将该功能用于其他用途之后,才在文档中添加了对该功能的辩护。

你的电脑有wpbt软件吗?

在使用WPBT的PC上,Windows从UEFI固件的表中读取二进制数据,并在引导时将其复制到名为wpbbin.exe的文件中。

Advertisement

您可以检查自己的电脑,看看**商是否在WPBT中包含软件。若要查找,请打开C:\Windows\system32目录并查找名为wpbbin.exe的文件。C:\Windows\system32\wpbbin.exe文件仅在Windows从UEFI固件复制时存在。如果它不存在,你的电脑**商还没有使用WPBT在你的电脑上自动运行软件。

僵尸垃圾软件:windows平台二进制表的工作原理

避免wpbt和其他垃圾

在联想不负责任的安全失败之后,微软又为这一功能制定了一些规则。但令人困惑的是,这一功能甚至存在于第一位-尤其令人困惑的是,微软将提供给个人电脑**商没有任何明确的安全要求或使用指南。

修订后的指导方针要求原始设备**商确保用户在不需要的情况下确实可以禁用该功能,但微软的指导方针并没有阻止PC**商在过去滥用Windows安全。三星在出货时禁用了Windows更新,因为这比与微软合作更容易确保Windows更新中添加了正确的驱动程序。

相关报道:购买Windows PC的唯一安全地点是微软商店

这是个人电脑**商不重视Windows安全的又一个例子。如果你打算购买一台新的Windows PC,我们建议你从微软商店购买一台,微软实际上很关心这些PC,并确保它们没有像联想的Superfish、三星的Disable\u WindowsUpdate.exe、联想的LSE功能以及一台普通PC可能附带的所有其他垃圾软件这样的有害软件。

当我们在过去写这篇文章时,许多读者回答说这是不必要的,因为你总是可以执行一个干净的Windows安装来摆脱任何臃肿的软件。好吧,显然这不是真的-唯一可靠的方法是从微软商店获得一个无臃肿软件的Windows PC。不应该是这样,但确实是这样。


WPBT特别令人不安的不仅仅是联想完全没有利用它来将安全漏洞和垃圾程序烘焙到干净的Windows安装中。尤其令人担忧的是,微软一开始就向PC**商提供了这样的功能——尤其是在没有适当限制或指导的情况下。

Advertisement

这项功能在更广泛的科技界引起注意之前也花了好几年的时间,而这仅仅是由于一个严重的安全漏洞。谁知道还有什么讨厌的特性被烘焙到Windows中,供PC**商滥用。个人电脑**商正在拖累Windows的声誉,微软需要控制它们。

图片来源:Cory M。Flickr上的Grenier

  • 发表于 2021-07-15 04:30
  • 阅读 ( 304 )
  • 分类:互联网

你可能感兴趣的文章

关于基于golang的恶意软件,您需要了解什么

...可以编写一次代码,然后使用这个代码库为多个平台编译二进制文件。使用静态链接,开发人员为Linux编写的代码可以在Mac或Windows上运行。 ...

  • 发布于 2021-03-11 10:52
  • 阅读 ( 311 )

什么是僵尸网络?你的电脑是僵尸网络的一部分吗?

我最喜欢的网络安全术语之一是“僵尸网络”,它让人联想到各种各样的图像:相互连接的机器人,成群结队的网络工作者同时为一个目标提供动力。有趣的是,这个词所唤起的形象与僵尸网络很相似——至少在迂回的术语中是...

  • 发布于 2021-03-11 20:18
  • 阅读 ( 281 )

mono是什么?它如何帮助windows切换到linux?

...统之间使用。除此之外,Mono实际上还支持许多现成的.NET二进制文件(即在visualstudio中编写的C#EXE文件)。因此,还没有在Linux上运行的.NET程序很可能会在将来出现。 ...

  • 发布于 2021-03-12 18:14
  • 阅读 ( 621 )

一个尺寸不适合所有人:为什么软件不能普遍兼容

...执行文件的格式。操作系统希望它运行的文件遵循特定的二进制文件格式。例如,在Linux和FreeBSD等操作系统上运行的可执行和可链接格式(ELF)文件必须以特定字节指定文件的某些属性,如下图所示。 ...

  • 发布于 2021-03-13 08:34
  • 阅读 ( 209 )

为什么需要删除不再使用的僵尸应用

... 这是有风险的,因为这些“僵尸应用程序”可能会危及你的安全,你甚至没有意识到。下面是僵尸应用程序的问题以及如何处理它们。 ...

  • 发布于 2021-03-13 21:09
  • 阅读 ( 258 )

这就是软件安装程序在windows、macos和linux上的工作方式

...例中,我使用了文档转换器Pandoc。它包括/usr/local/bin中的二进制文件和/usr/local/share/man中的一些文档。这些东西到底是如何到位的?我们来看看每一个都是如何安装到你的Mac上的。 ...

  • 发布于 2021-03-14 18:20
  • 阅读 ( 274 )

4您应该注意的linux安全问题

... 特洛伊木马程序包通常向计算机提供后门访问、僵尸网络恶意软件或勒索软件。但肯定不会有任何木马在Linux上运行吧? ...

  • 发布于 2021-03-15 15:54
  • 阅读 ( 187 )

2019年5大网络安全威胁揭晓

... 三。僵尸网络 ...

  • 发布于 2021-03-23 09:39
  • 阅读 ( 243 )

微软披露了主要垃圾邮件活动的细节以及它是如何保持在线的

... 微软还指出,垃圾邮件运动的兴起,恰逢Necurs僵尸网络在全球范围内被拆除,微软也参与了这一行动。在它被破坏之前,Necurs是数量最多的垃圾邮件僵尸网络之一,允许其他犯罪分子免费访问该网络。 ...

  • 发布于 2021-03-26 23:58
  • 阅读 ( 210 )

2020年是linux恶意软件大流行的一年吗?

... 不要运行来自未知源的二进制文件或脚本。 安装安全软件,如防病毒程序和rootkit检测器。 使用curl等命令安装程序时要小心。在完全理解命令的作用之前不要运行它...

  • 发布于 2021-03-29 07:01
  • 阅读 ( 318 )
kqnvbzgyjs
kqnvbzgyjs

0 篇文章

相关推荐