问如何从零开始检测硬盘上的恶意软件

EN

在理论层面上，您需要首先将设备的电子布局与预期的原理图(您可能还没有)或另一个完全相同的驱动器的好版本进行比较。如果它不同，找出什么不同和后果是什么？有没有像微控制器这样的新的“智能”部件？它和什么有关？

然后看一看所有可编程的电子设备，然后将二进制代码转储到那里。(使用JTAG，SPI，任何您需要的)。

然后，将此二进制代码与已知的好版本(可能没有)或从该驱动器的已知好版本中转储的版本进行比较。

然后，通过分解代码并了解代码所做的事情，您可以准确地分析这些差异。这仅仅是制造商的错误修复/更新，还是恶意代码？

您可以查找在这个博客上的一些好的波图和描述如何改变驱动器固件工作。

如果您确定硬件和固件没有被篡改，您可以继续驱动器上的数据。

除非UEFI/BIOS/.或者操作系统就是这样做的。

因此，首先您需要检查引导加载程序在那里。驱动器包含引导加载程序吗？如果是，请查看它是否是已知的良好引导加载程序(例如，WindowsBootloader、默认grub、.)。如果没有，请拆卸代码并进行分析。

如果您确信硬件、固件和引导加载程序不是恶意的，那么执行代码的唯一方法就是您的操作系统。

找出您的操作系统是否自动从连接的驱动器加载和执行代码(它不应该)，如果应该的话，从哪里准确地。看看您的驱动器上是否有此位置的代码。分析一下。

如果您走了这么远，那么驱动器上就没有自动执行的恶意代码。当然，仍然有一些恶意代码不能自动运行。

你的主要问题似乎是你信任ps ax。也就是说，输入这两个单词，并假设它们是按照您的意愿执行的。随着恶意软件的运行，这个假设是有缺陷的。

实际上，答案是，不要从那个硬盘上运行任何东西。将其放入USB机箱中，并将其连接到一个已知的良好系统，该系统不会自动从USB存储开始执行内容。为了获得更多的安全性，您可以在Linux上将dsk挂载为noexec。

现在，您可以检查普通恶意软件可以访问的所有比特。但是，仍然存在着国家一级的行为者替换了磁盘本身的固件的风险。但如果你是在应对这种程度的威胁，你就不应该问这样的问题。