我有几个关于 DVD 驱动器的问题。
DVD 驱动器和 SATA 接口是否容易受到 BadUSB 等问题的影响,这些问题是由于能够对驱动器或磁盘的固件进行重新编程,甚至在感染后传播到 NIC、RAM、CPU、BIOS 等其他硬件?
DVD 是否有像 MBR 或 GPT 这样的扇区,可以通过编程来发出命令,可以访问内核、核心文件系统,可以在加载光盘的瞬间被利用来破解?
强大的防病毒/防火墙是否可以防止任何基于硬件的实时攻击,例如 BadUSB,或者如果插入磁盘,DVD 驱动器会被黑客入侵吗?
DVD/CD 是否有可能拥有类似 TDSS 的隐形隐藏文件系统?Sony、Verbatim、Mosaerbaer 等知名公司的空白 CD/DVD 是否有加密固件?
你在这里有很多不同的问题。让我们试着回答他们。
DVD 驱动器和 SATA 基础设施是否像 badusb 一样易受攻击
SATA 协议专门用于存储,而不是像键盘这样的任何其他类。
“BadUSB”是一类坦率地夸大其词的攻击,其中涉及充当人机接口设备(HID) 的 USB 设备,如鼠标或键盘并与计算机交互。这是可能的,因为 USB 协议被设计为通用的。由 USB 从设备向主机提供其用途,称为class。因此,闪存驱动器会将自己暴露为大容量存储设备,而键盘会将自己暴露为 HID。问题源于这样一个事实,如果闪存驱动器被重新编程或恶意设计,它可以告诉主机它是一个 HID,并且主机会很高兴地接受来自它的击键。这不是 SATA 的问题,因为它专为数据传输而设计。SATA 设备无法告诉主机它是键盘。
甚至一旦被感染就会扩散到其他硬件,如网卡、内存、CPU、BIOS?
DVD/CD 超过 SATA,后者没有(任意)DMA 功能。
这将需要DMA 攻击,这需要 PCI 总线上有一个称为总线主控的功能,即PCI 配置位。,通过主机上的特权软件设置并存储在设备上的寄存器中。硬件驱动程序可以为给定的 PCI 设备启用总线主控位,允许它访问它想要的任何系统内存,SATA 集线器就是这种情况。但是,DVD 播放器并不直接控制 SATA 集线器,而是与其通信。SATA 协议的限制会影响这种驱动器的危险程度,并且由于 SATA 需要驱动程序支持代表客户端执行任意 DMA,因此恶意 DVD 驱动器在未经驱动程序允许的情况下无法写入任意内存。发生的情况是,SATA 客户端(DVD 驱动器)通过与 SATA 集线器(内置于ICH在现代系统上),给它主机请求的数据。集线器是一个虚拟的 PCI 设备,然后使用 DMA(海量存储设备通常称为UDMA)将数据写入主机。客户端通常不能告诉集线器它想把数据写到哪里,只能告诉集线器要写什么数据。
请注意,根据SATA 标准的第 10.3.7 节,在某些情况下,客户端 SATA 设备可能会直接 DMA 到主机上。无论给定的驱动程序是否允许这样做,您的系统的 I/OMMU 都应该在您的 BIOS 中使用适当的 DMAR 表来隔离此 DMA。
DVD 是否有像 MBR 或 GPT 这样的扇区,可以通过编程来发出命令,可以访问内核、核心文件系统,可以在加载光盘的瞬间被利用来破解?
任何分区都可以包含 MBR/GPT,但您必须从它启动它才能执行任何操作。
MBR 和 GPT 是任何可引导分区的功能,无论介质如何。MBR只是适合可引导分区的第一个 512 字节扇区的数据(一个平面可执行文件和分区表),仅此而已。如果您要使用带有可引导分区的 DVD,它可能具有这样的 MBR,但这在普通 DVD 上不存在,您必须从它引导才能使其生效。确保在 BIOS 中禁用从 DVD 驱动器启动!
此外,强大的防病毒/防火墙是否可以防止任何基于硬件的实时攻击,例如 badusb,或者如果插入的磁盘、DVD 驱动器可以被黑客入侵?
防病毒程序只扫描文件,不扫描硬件。防火墙仅限制网络。
不可以。杀毒软件是为扫描恶意文件而设计的,它有两种操作模式. 首先,它可以进行基于签名的检测,在文件中查找恶意软件独有的已知字符串。这是非常快的并且往往不会出现误报,但很容易被击败(只需稍微修改恶意软件)并且需要预先了解恶意软件。第二种技术是启发式检测,其中标记了可执行文件的一组“粗略”操作。例如,如果可执行文件使用内部加密,并且在打开后立即从 Internet 下载另一个可执行文件并在该文件上设置隐藏标记,则这些红色标记全部加起来,防病毒软件将阻止该操作。这速度较慢并且往往会导致误报,但它可以检测(至少一部分)未知恶意软件。虽然它在检测新恶意软件方面比基于签名的检测更有效,它可以被规避。防病毒软件甚至不将硬件攻击视为其威胁模型的一部分。至于防火墙,它们只是用于限制网络访问,而不是检测恶意软件。防火墙是一种完全不同的技术。
DVD/CD 是否有可能拥有类似 TDSS 的隐形隐藏文件系统?
DVD 没有任何文件系统。操作系统可以使用文件系统对其进行格式化。
DVD/CD 只是一个空白介质。理论上,专门设计的 DVD 驱动器和专门设计的 DVD 可以存储辅助的隐藏文件系统,但实际上不会发生这种情况。使用普通 DVD 驱动器时,由操作系统决定使用任何提供必要功能的文件系统来格式化光盘。存储 DVD 的正常格式通常是iso9660或UDF,它们不支持隐藏文件系统。
Sony、Verbatim、Mosaerbaer 等知名公司的空白 CD/DVD 是否有加密固件?
实际的光盘只是一种没有固件的数据存储哑介质。
DVD 本身不再包含固件,就像硬盘驱动器中的物理盘片包含固件一样。它们只是具有特殊设计的“哑”圆盘,当被足够强的光束击中时,允许一层或多层物质改变反射率。然而, DVD驱动器具有固件,并且只能使用主机上的特殊特权命令进行更新。我不知道有任何 DVD 驱动器允许直接从光盘更新固件(尽管它们可能存在)。我不知道它是否被加密,但我猜它不是,而是被混淆/编码。它很可能使用像霍夫曼编码这样简单的东西,只要花足够的时间和精力就可以破解。不过,逆向工程将是真正的挑战。
我应该注意,恶意 DVD驱动器可能会做一些令人讨厌的事情,例如在将数据提供给您之前对其进行修改。如果您从 DVD 上执行文件并且驱动器是恶意的,它可能会给您一个恶意文件,就像您从网络下载可执行文件时路由器一样。SATA 设备只不过是一台具有巨大存储空间的小型计算机,通过高带宽、低延迟的网络为请求提供服务。就这样对待它。
DVD 驱动器与任何其他现代设备一样具有可闪存固件。通常,发送刷新固件所需命令的能力仅限于管理员/root,因此如果攻击者可以在系统上获得此类访问权限,那么是的,DVD 驱动器可能会被黑客入侵。
反病毒软件可以通过尝试阻止会刷新固件的软件执行来降低风险,但它不会检测到恶意固件。