这是可能的恶意软件跨重新格式化坚持并重新安装，如果它足够巧妙和复杂的：例如，它可以在BIOS中坚持，在固件外设（某些硬件设备具有可更新的固件，因此可能会使用恶意固件进行更新），或者使用病毒感染可移动存储或备份上的数据文件。

然而，大多数恶意软件并没有做任何如此讨厌的事情。因此，虽然没有任何保证，但重新格式化和重新安装应该可以消除您在野外可能遇到的几乎所有恶意软件。

就个人而言，我会很高兴重新格式化和重新安装。在实践中可能已经足够好了。

稍微老练的攻击者绝对有可能将恶意软件置于操作系统无法直接触及的范围之外。重新安装操作系统最多意味着磁盘擦除。即使在那里，如果您恢复任何可能已被泄露的数据，您也需要小心。

恶意软件可以存储在潜伏在现代计算机几乎每个组件中的众多可重写存储器之一中。这些存储器存储该组件的固件并且通常是可重写的；只需要知道正确的地址，制造商通常会提供升级固件的工具，所以攻击者要做的就是替换他自己的代码（几乎从来没有任何密码学）。

例如，K. Chen发现了一个针对 Apple 键盘的已知（并且相当简单）的漏洞利用。Chen 的演讲展示了如何利用可用内存（仅剩余大约 1kB）通过注入击键来打开 TCP 端口上的 shell，或者在需要密码短语的上下文中记录击键并重放它们。

有关野外固件漏洞的另一个示例，请尝试CVE-2010-0104：Broadcom NetXtreme 管理固件 ASF 缓冲区溢出。这是某些以太网固件中的一个错误，它允许远程攻击者控制网络固件（因此至少主动攻击所有网络流量），并可能控制整个计算机（我不知道是否存在漏洞为此，但是一旦您可以访问 PCI 总线，我怀疑有多少是被禁止的）。有趣的是，这个漏洞最容易在关闭的计算机上利用，因为该漏洞位于远程管理协议解析器中，该解析器特别处理 LAN 唤醒。

另一个示例是重新刷新硬盘控制器（在OHM 2013上介绍）。

这个问题询问视频卡上的固件。在我写这篇文章的时候，没有人给出过恶意软件的例子，但这种可能性肯定是存在的。

在典型的 PC 上没有针对受损固件的真正保护。您需要跟踪计算机中的每一块闪存。有人努力要求对固件进行身份验证；在 PC 上，最先进的此类工作是TPM，如果您拥有所需的硬件和支持它的 BIOS，它目前可以检查 BIOS 和操作系统引导加载程序的完整性。我不知道所有组件的固件都经过完整性检查的 PC（至少在它们被允许访问 PCI 总线之前）。智能手机领域也有类似的努力利用ARM 芯片的安全功能，但从安全功能的存在到将所有固件都包含在受信任的基础中，这仍然相去甚远。

在实践中，如果你不是一个高调的目标，你不需要太担心。在脚本小子级别上没有任何漏洞。但是，对于具有技术技能（或雇用熟练黑客的手段）的攻击者来说，这种可能性很普遍。

随着时间的推移，固件攻击变得越来越容易。在 Black Hat USA 2012 上，Jonathan Brossard展示了“用于英特尔架构的通用概念证明恶意软件Rakshasa，能够感染一百多种不同的主板”。概念验证（未公开发布）感染了许多 BIOS 和常见的外围设备，包括网络芯片。这种固件感染框架出现在野外只是时间问题。据报道， NSA倾向于在 BIOS 中植入间谍软件。

除了将您的代码隐藏在各种外围设备中之外，正在卷土重来的一项旧技术是引导扇区病毒。Torpig/Sinowal/Anserin 是最近明智地使用这种技术的例子。简而言之，一旦被感染，病毒就会将一些引导代码加载到 MBR 中。如果使用这种技术，可以预期加载到 MBR 中的代码执行以下操作：

1. 检查是否存在病毒
2. 如果没有，则下载并重新感染

可靠地清理这样的东西以清理 MBR 的唯一方法。要么通过重新分区，要么使用像 fixmbr 这样的工具。因此，仅仅重新安装，有时是格式化/重新安装，是不够的。

取决于您认为是“全新安装”的内容。

除了 DW 提到的内容之外，某些内容可能会保留在您可能拥有的任何其他分区上的“系统卷信息”和/或回收站目录（系统还原和回收站目录）中。这可以很容易地在全新的 Windows 安装上重新激活，但它很可能无法在 Ubuntu 上运行。无论如何，如果所有这些其他分区没有得到消毒，这意味着这些目录中的某个地方可能仍然存在一些恶意软件 - 可能没有做任何事情，只是等待更好的日子，以便重新安装 Windows ]:-> 但仍然存在..我建议你在安装 Ubuntu 后做的是安装 clamav，更新它并重新扫描你拥有的所有东西。

如果你真的把所有的东西都格式化了，还有DW提出的观点。