首先，APT 不是指漏洞利用、rootkit 等，而是指威胁行为者及其背后的组织。

也就是说，BIOS 和固件攻击已经存在了一段时间。这里唯一的变化是任何类别的攻击都会经历的变化：它们已经商品化了。

这不会改变查找、修补等方法，但这确实意味着受感染的机器可能需要在固件和硬件级别进行清理，而不仅仅是操作系统。

也就是说，BIOS 和固件攻击已经存在了一段时间。这里唯一的变化是 > 任何类型的攻击都会经历同样的变化：它们已经商品化了。

这不会改变查找、修补等方法，但这确实意味着受感染的机器可能需要在固件和硬件级别进行清理，而不仅仅是操作系统。

恕我直言，我不同意。几年前我遇到过上一代的 BIOS 刷新恶意软件，它们在原理上并没有真正的改变。在重新安装之前，只需刷新 BIOS 或受感染的固件并低级别擦除磁盘。

相比之下，作为一名拥有多年取证经验的 SR 系统管理员，我被最新一代的基于平台独立固件/GPU 的准虚拟化管理程序彻底毁了、羞辱了我的表演。我能从这次经历中得到的唯一安慰是以必须基本上扔掉或出售为代价的（对于任何在我发出警告后鲁莽地接受它的人提供的任何东西）4台台式电脑，一台有点老化的 SBS 服务器，以及所有附加的外围设备......在过去的几个月里，我不得不将我自己的游戏提升几个飞跃，甚至连贯地了解正在发生的事情。

然而，我的观点是——对这类新兴恶意软件要求我们的策略/方法进行一些根本性的重新思考。因为人们无法在固件上简单且可行地启动清洁过程，然后从那里开始工作。Mebromi，甚至更糟糕的是：现在流行的 Rakshaksha / TDL4 固件变体包括感染，例如我的，它实际上将感染的非常小的核心细菌的副本闪烁到所有附加的外围固件。如您所知，BIOS 本身似乎是虚拟化的。CoreBoot & SeaBIOS 在它下面运行。该恶意软件具有适用于 16 位 DOS、Linux、Windows 和 BSD 的驱动程序，类似地从您的 BIOS UI 刷新都相当于刷新虚拟化 BIOS。但是，具有适当 bin 映像的硬件盲闪存似乎确实有效。但... 在下一篇文章中，光标在那里停留了大约一分钟，几个回车后，系统重新启动，合法的 BIOS 再次回到 CoreBoot/SeaBios & hypervisor 下。GPU已经闪过了它。我重复了这个过程。卸下 GPU，板载视频做了同样的事情。而且，如果我能够在重新组合之前以某种方式在相同的重新启动周期中清洁并刷新 GPU 和 BIOS（不会不知不觉地感染我用来刷新 GPU 的机器）......我会发现任何 HDD 上的固件，光驱、网卡，甚至我路由器的 ROM，都会在短时间内重新引入感染。我在 sysinternals 论坛上的一个线程上遇到了其他一些具有相同变体的人，其中 1 或 2 个海报最初遭到怀疑，直到其他 1 个人发现线程并证实了这些经历。两个这样的海报甚至在他们的所有 PCI ROM 中都有 BIOS 和引导扇区代码/数据。从我收集到的信息来看，目前的技术和恶意软件清除/检测/防御产品和实践的速度比坏人落后了 6-18 个月。似乎没有任何经济上或实际可行的方法来消除这种感染，除非绝对采取系统接触过的具有非易失性可写内存的所有内容，并将它们彼此隔离地刷新，然后重新集成。或者以某种方式在同一个重启周期中将它们全部闪烁。似乎没有任何经济上或实际可行的方法来消除这种感染，除非绝对采取系统接触过的具有非易失性可写内存的所有内容，并将它们彼此隔离地刷新，然后重新集成。或者以某种方式在同一个重启周期中将它们全部闪烁。似乎没有任何经济上或实际可行的方法来消除这种感染，除非绝对采取系统接触过的具有非易失性可写内存的所有内容，并将它们彼此隔离地刷新，然后重新集成。或者以某种方式在同一个重启周期中将它们全部闪烁。

我什至设法在不知不觉中将这种感染传播到我的 iPhone 上，并且对我来说是不知情的，大约一周后，我设置了一个个人热点，用于通过 Wi-Fi 为朋友的笔记本电脑连接我的蜂窝互联网连接。10 分钟后，他的系统变得不稳定并重新启动，于是我立即开始在我自己的机器上看到感染的特征。后来我发现我正在使用的另一台机器有一个奇怪的活动到蓝牙连接到我识别的 MAC 地址。我从口袋里掏出手机，确认蓝牙已在设置中关闭，并确认它仍然是我的 iPhone 非常禁用的蓝牙适配器的 MAC 地址，这台机器以某种方式自动配对。我们还必须更换该用户的计算机。而在其他几台机器的情况下，

是的……我想说，作为一个行业，我们必须重新评估如何处理这些事情。因为传统的策略基本上会扼杀几个月的生产力，让你质疑自己的理智，不确定肯定会发生什么，哪些推论是不稳定的，或者会导致你走错路……最终不会得到太多远不止知道某些事情肯定是非常错误的..但缺少物理删除和评估 ROM/BIOS，无法确定您正在处理的确切内容。