Virustotal: สแกนเฟิร์มแวร์เพื่อหาสัญญาณของการจัดการ

• หมวดหมู่: ความปลอดภัย

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

Virustotal บริการสแกนไวรัสออนไลน์ยอดนิยมของ Google ที่ได้รับ การอัปเดตเมื่อเร็ว ๆ นี้ทำให้ผู้ใช้บริการสามารถสแกนเฟิร์มแวร์ได้เช่นเดียวกับไฟล์อื่น ๆ

หนึ่งในจุดแข็งที่ยิ่งใหญ่ที่สุดของ VirusTotal คือการรองรับการสแกนหลายเอนจิ้นซึ่งทดสอบไฟล์ที่อัปโหลดไปยังบริการโดยใช้โปรแกรมป้องกันไวรัสที่แตกต่างกันมากกว่า 40 รายการ

บริการนี้ได้รับการขยายหลายครั้งนับตั้งแต่ Google ได้มาซึ่งการปรับปรุงพารามิเตอร์การสแกนเหนือสิ่งอื่นใด

การเพิ่มล่าสุดของ Virustotal คือการรองรับการสแกนเฟิร์มแวร์ซึ่งช่วยให้ผู้ใช้บริการสามารถอัปโหลดภาพเฟิร์มแวร์ถ่ายโอนข้อมูลหรือดาวน์โหลดไปยังบริการเพื่อตรวจสอบว่า (น่าจะ) ถูกต้องตามกฎหมายหรือถูกปรับเปลี่ยน

การสแกนเฟิร์มแวร์ Virustotal

แม้ว่ามัลแวร์ส่วนใหญ่จะติดเชื้อในระบบในด้านซอฟต์แวร์ แต่มัลแวร์เฟิร์มแวร์ก็เป็นปัญหาอย่างยิ่งเนื่องจากไม่สามารถตรวจจับหรือทำความสะอาดได้ง่าย

เนื่องจากเฟิร์มแวร์ถูกจัดเก็บไว้ในอุปกรณ์เองการฟอร์แมตฮาร์ดไดรฟ์หรือแม้กระทั่งการเปลี่ยนฮาร์ดไดรฟ์จึงไม่มีผลต่อสถานะของคอมพิวเตอร์ที่ติดไวรัส

เนื่องจากการตรวจจับทำได้ยากยิ่งกว่านั้นจึงเป็นเรื่องปกติที่ประเภทการโจมตีจะดำเนินไปโดยไม่มีใครสังเกตเห็นเป็นเวลานาน

การสแกนเฟิร์มแวร์ที่ Virustotal รองรับทำงานได้หลายอย่างเช่นเดียวกับการสแกนไฟล์ปกติ ความแตกต่างหลักคือวิธีการได้มาของเฟิร์มแวร์

แม้ว่าจะสามารถใช้ทดสอบเฟิร์มแวร์ที่ดาวน์โหลดจากเว็บไซต์ของผู้ผลิตได้ แต่ความต้องการที่พบบ่อยกว่าคือความปรารถนาที่จะทดสอบเฟิร์มแวร์ที่ติดตั้งของอุปกรณ์แทน

ปัญหาหลักที่นี่คือต้องทิ้งเฟิร์มแวร์เพื่อให้สิ่งนั้นเกิดขึ้น บล็อกโพสต์บนเว็บไซต์ Virustotal เน้นเครื่องมือหลายอย่าง (ส่วนใหญ่เป็นซอร์สโค้ดหรือสำหรับระบบ Unix / Linux) ที่ผู้ใช้สามารถใช้เพื่อถ่ายโอนเฟิร์มแวร์บนอุปกรณ์ที่ใช้งานได้

การวิเคราะห์ไฟล์มีลักษณะเหมือนกับไฟล์อื่น ๆ เมื่อมองแวบแรก แต่แท็บ 'รายละเอียดไฟล์' และแท็บ 'ข้อมูลเพิ่มเติม' จะเปิดเผยข้อมูลเฉพาะที่ให้ข้อมูลเชิงลึกที่ด้านบน

แท็บ 'รายละเอียดไฟล์' ประกอบด้วยข้อมูลเกี่ยวกับไฟล์ที่มีอยู่เวอร์ชัน ROM วันที่สร้างและข้อมูลอื่น ๆ ที่เกี่ยวข้องกับการสร้าง

รายการข้อมูลเพิ่มเติมข้อมูลการระบุไฟล์และรายละเอียดแหล่งที่มา

เครื่องมือใหม่ทำงานต่อไปนี้ตาม Virustotal:

การตรวจจับและการรายงาน Apple Mac BIOS
การตรวจจับฮิวริสติกของแบรนด์ตามสตริงเพื่อระบุระบบเป้าหมาย
การแยกใบรับรองทั้งจากอิมเมจเฟิร์มแวร์และจากไฟล์ปฏิบัติการที่อยู่ในนั้น
การแจกแจงรหัสคลาส PCI ช่วยให้สามารถระบุคลาสอุปกรณ์ได้
การแยกแท็กตาราง ACPI
การแจงนับชื่อตัวแปร NVAR
การแยก ROM ตัวเลือกการแยกจุดเริ่มต้นและรายการคุณลักษณะ PCI
การแยกไฟล์ปฏิบัติการแบบพกพาของ BIOS และการระบุตัวดำเนินการของ Windows ที่มีอยู่ภายในอิมเมจ
การรายงานคุณลักษณะ SMBIOS

การแยกไฟล์ปฏิบัติการแบบพกพาของ BIOS มีความสนใจเป็นพิเศษที่นี่ Virustotal แยกไฟล์เหล่านั้นและส่งเพื่อระบุตัวตนทีละไฟล์ ข้อมูลเช่นเป้าหมายของระบบปฏิบัติการที่ต้องการจะเปิดเผยรวมถึงข้อมูลอื่น ๆ หลังการสแกน

ดังต่อไปนี้ ผลการสแกนไฮไลต์รูทคิทของ Lenovo (ในรูปแบบของ NovoSecEngine2) ที่สอง เฟิร์มแวร์ที่อัปเดตสำหรับอุปกรณ์ Lenovo ที่ถูกลบออก

ปิดคำ

ตัวเลือกการสแกนเฟิร์มแวร์ใหม่ของ Virustotal เป็นขั้นตอนที่น่ายินดีในทิศทางที่ถูกต้อง แม้ว่าจะเป็นเช่นนั้น แต่ก็ยังคงเป็นบริการพิเศษในตอนนี้เนื่องจากความยากลำบากในการแยกเฟิร์มแวร์จากอุปกรณ์และการตีความผลลัพธ์