在主機只有一顆硬碟且不使用USB儲存媒體的情況下 更換硬碟還會中毒大致上有三種可能
但是三個都不太容易發生就是了
1. CIH病毒---這隻病毒可以在特定條件符合的情況下破壞BIOS
不過在2010年還能中這隻病毒真的很厲害 因為CIH要在特定的條件下才能感染
首先 CIH在Windows NT平台下無法傳播 而Windows 2000之後的OS都是在Windows NT
的架構下所開發的
也就是說 除非你使用的是Windows 95/98 否則不會感染CIH病毒
其次 現在很多廠商基於之前CIH病毒造成的巨大損失 因此對BIOS增加了很多防護
所以就算你想要故意去中恐怕也沒那麼容易
2. 區網ARP或Windows OS自身漏洞所造成的攻擊(0-day Attack)
這兩種都是來自外部的攻擊 所以更換硬碟也沒甚麼用
但是目前的ARP病毒不多 0-day漏洞也不是天天都有
所以只要有裝防毒軟體以及做好更新 基本上是不用太擔心
3. Intel CPU自身的SMM漏洞---"神"一般的漏洞
這個要說起來就複雜了 簡而言之就是病毒利用Intel CPU上的Cache漏洞進入SMM
利用SMM來當作Ring0取得最高權限 然後在SMRAM裡面運行惡意代碼來攻擊系統
而由於OS無法讀取SMM中的內容 所以即使中毒了也完全不可能被發現
但是這只是一個理論上的漏洞 真要做出能夠利用這個漏洞的Rookit在技術上有一定
程度的困難 目前也沒聽說過真的有利用此漏洞而產生出來的病毒 而Intel"似乎"也
已經在最近的CPU中修補了這個漏洞
--
但是三個都不太容易發生就是了
1. CIH病毒---這隻病毒可以在特定條件符合的情況下破壞BIOS
不過在2010年還能中這隻病毒真的很厲害 因為CIH要在特定的條件下才能感染
首先 CIH在Windows NT平台下無法傳播 而Windows 2000之後的OS都是在Windows NT
的架構下所開發的
也就是說 除非你使用的是Windows 95/98 否則不會感染CIH病毒
其次 現在很多廠商基於之前CIH病毒造成的巨大損失 因此對BIOS增加了很多防護
所以就算你想要故意去中恐怕也沒那麼容易
2. 區網ARP或Windows OS自身漏洞所造成的攻擊(0-day Attack)
這兩種都是來自外部的攻擊 所以更換硬碟也沒甚麼用
但是目前的ARP病毒不多 0-day漏洞也不是天天都有
所以只要有裝防毒軟體以及做好更新 基本上是不用太擔心
3. Intel CPU自身的SMM漏洞---"神"一般的漏洞
這個要說起來就複雜了 簡而言之就是病毒利用Intel CPU上的Cache漏洞進入SMM
利用SMM來當作Ring0取得最高權限 然後在SMRAM裡面運行惡意代碼來攻擊系統
而由於OS無法讀取SMM中的內容 所以即使中毒了也完全不可能被發現
但是這只是一個理論上的漏洞 真要做出能夠利用這個漏洞的Rookit在技術上有一定
程度的困難 目前也沒聽說過真的有利用此漏洞而產生出來的病毒 而Intel"似乎"也
已經在最近的CPU中修補了這個漏洞
--
All Comments