现在我有一个备份设置,它涉及一个带有单独电源的 3.5" 外部 USB-HDD(对于此类驱动器来说很常见)。这个 HDD 在内部是一个标准 SATA HDD,带有 USB+Power 包装器。
这个 HDD 始终连接通过与我进行备份的 PC 的数据连接,但是使用机械开关关闭驱动器的电源。电源线已通电并已插入(因此驱动器只需一个开关即可翻转从操作)。
当 HDD 连接到 PC 时,恶意软件能否禁用此类硬件电源开关的典型实现的功能?
表述方式不同:即使我将机械开关拨到“关闭”位置,恶意软件能否有效地使硬盘“始终通电”?
不会。电源开关几乎总是一种机械装置,它会切断来自逻辑板的输入电源。当它关闭时,连接在物理上断开 - 一个完整的气隙。恶意软件无法颠覆这一点。
恶意软件可能能够绕过“关机”状态的唯一情况是当状态为软状态时,例如待机。该设备必须让其处理器(微处理器或微控制器)运行,可能处于低功耗睡眠状态,同时 USB 接口处于活动状态。根据实施的不同,恶意软件可能会通过 USB 触发唤醒事件,尽管它是特定于设备的并且具有高度针对性/不寻常。
好的,那么这些开关如何工作取决于外部驱动器制造商的安装决定,所以我们也需要看看几个案例:
更糟糕的是,那里有结合了这两种开关类型的 HDD。在这种情况下,只要您知道哪一个是实际的硬断开电源,您就有案例 1。
不,固件不能这样做,因为这是一个不受内部芯片监督的电路
是的,固件可以做到这一点,因为芯片实际上只是检查该开关的状态,并且可以远程唤醒它。
如果是情况 2,则完全有可能在其上安装一个完全忽略该开关信号的固件,但这是一种非常直接的攻击,此时您需要担心更多问题。
拨动此开关时,计算机可以远程唤醒您的硬盘吗?
不过可以肯定的是,您可以在不使用驱动器时拔下 USB,以防止在任何一种情况下发生这种情况。
如果外部驱动器的唯一电源来自电源线,并且它是物理隔离的,那么没有。恶意软件将无法打开它。
但是,驱动器也有可能从 USB 连接器接收电源,虽然这不能保证为它供电(因此需要外部电源),但在适当的情况下(计算机上的强大电源) ,没有连接太多外围设备,外部驱动器不需要太多能量......)它可能是。
此外,请注意,您假设备份电脑的任何危害都会在中间被检测到(例如,恶意软件不会等待您连接外部驱动器来删除/加密其文件以及计算机的其余部分)。尝试保留单独的备份。
这是一个很好的问题。虽然显而易见的答案是否定的,但有一些警告。
“机械开关”是一个模棱两可的术语。让我们暂时假设机械开关是由广泛的运动(而不是压力)驱动的开关。
让我们看一下典型的PSU开关:
看到那些粗爪子了吗?为设备供电的电流实际上是从这些电流中流出的,关闭开关就相当于从墙上的电源插座上拔下电缆。
另一方面,PC 机箱电源按钮在内部看起来非常不同:
那些细线?它们实际上不携带任何电流(为设备供电)。事实上,您的计算机一直处于通电状态,开关只是告诉它“打开”。这也称为“待机”和“软关机”。
电源开关移动或保持在原位的事实完全无关紧要。重要的是实际电路连接到什么 - 如果不打开设备,您将看不到这一点。
话虽如此,像第一个这样的开关最常为设备本身供电。
现在,如果您的硬盘驱动器开关使用“待机”模式,并且芯片的控制器具有可写的芯片,您可以通过 USB 接口进行操作(与最常见的板载接头相反)从理论上讲 ,恶意软件可以使用可以随意打开/关闭的特殊版本覆盖固件。
为了保持这个有趣,让我们暂时忽略一个事实,即如果磁盘打开,您将能够听到它在旋转。
该恶意软件必须专门为您的特定硬盘制造商和型号(可能还有工厂系列)开发,所以我个人认为这不是一个现实的攻击。让某人打破磁盘所在房间的窗户要容易得多。
当然,如果你的磁盘开关真的关闭了电源,那就更有趣了。恶意软件当然不能重新打开它,但它可以:
让您的计算机重新启动并伪造一条操作系统消息,告诉您它需要检查外部硬盘驱动器中的文件系统完整性,并在您打开电源之前拒绝启动
通过备份系统用于获取文件的相同机制访问文件...
就等着吧!