V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
twitterpig
V2EX  ›  硬件

联想电脑的 BIOS 会向干净安装的电脑写入联想程序#我只是大自然的搬运工。

  •  1
     
  •   twitterpig · 2015-08-12 09:49:38 +08:00 · 7070 次点击
    这是一个创建于 3420 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果我不信任联想公司,但我购买了一台联想电脑,格式化干净安装是否就安全了?一位联想用户发现即使干净安装也无法避开联想,因为电脑的BIOS会检查是否安装了联想程序,没有就直接写入系统。除非修改BIOS固件,否则你的联想电脑永远会有联想程序。这位用户发现,BIOS会检查C:\Windows\system32\autochk.exe 是联想的版本还是微软的原始版本,如果是微软的版本,它会将其移至C:\Windows\system32\0409\zz_sec\autobin.exe,然后写入联想的autochk.exe。在启动期间, autochk.exe会向system32文件夹写入 LenovoUpdate.exe和LenovoCheck.exe,连上网后,它会设置一个服务运行其中一个程序,然后访问 http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.json 。这个网址没有使用加密,意味着可以被攻击者拦截流量远程执行代码。

    这问题无解呀。

    34 条回复    2015-09-15 22:12:21 +08:00
    13162951900
        1
    13162951900  
       2015-08-12 09:52:01 +08:00
    有意思!!!
    1stlulu
        2
    1stlulu  
       2015-08-12 10:03:21 +08:00 via Android
    如果用bitlocker加密硬盘呢
    susix
        3
    susix  
       2015-08-12 10:04:53 +08:00 via iPhone
    这种所谓的民族品牌,中国企业,我也是醉了
    suduo1987
        4
    suduo1987  
       2015-08-12 10:14:13 +08:00 via iPhone
    联想现在这么牛?
    huobazi
        5
    huobazi  
       2015-08-12 10:16:54 +08:00
    不装 windows 会怎么样?
    rshun
        6
    rshun  
       2015-08-12 10:27:10 +08:00
    我的机器上就没有C:\Windows\system32\0409\zz_sec\autobin.exe,LenovoCheck.exe,LenovoUpdate.exe
    thinkpad e420
    JackBlack2006
        7
    JackBlack2006  
       2015-08-12 10:28:38 +08:00
    联想在美国也这么做么?各大律师行开始磨刀准备集体诉讼吧
    crazycen
        8
    crazycen  
       2015-08-12 10:33:11 +08:00 via Android
    @rshun e420已经是古董啦!
    twitterpig
        9
    twitterpig  
    OP
       2015-08-12 10:40:37 +08:00   ❤️ 1
    @JackBlack2006 法律不是法外之地~哈哈哈~
    mortal
        10
    mortal  
       2015-08-12 10:40:56 +08:00
    把 autochk.exe 的权限全部禁用呢?
    yxqcyl
        11
    yxqcyl  
       2015-08-12 10:41:38 +08:00 via Android
    把key写入bios是干啥
    Love4Taylor
        12
    Love4Taylor  
       2015-08-12 10:46:19 +08:00
    x230 和 u430表示没有
    rshun
        13
    rshun  
       2015-08-12 10:47:09 +08:00
    @crazycen 嘿嘿,古董也是联想的呀
    dikcen
        14
    dikcen  
       2015-08-12 10:52:36 +08:00
    0409目录为空,T420s,新装win10,安装了system update。求信息来源
    ytjfmv
        15
    ytjfmv  
       2015-08-12 10:54:34 +08:00
    @rshun 因为你已经安装了联想的程序了吧,干净安装一个试试呢
    dxfree
        16
    dxfree  
       2015-08-12 10:56:23 +08:00
    C:\Windows\system32\0409 目录为空,T420用了4年了,没有异常。
    imWBB
        18
    imWBB  
       2015-08-12 11:42:35 +08:00 via Android
    联想
    不愧为
    美国良心
    yexm0
        19
    yexm0  
       2015-08-12 11:45:28 +08:00 via iPhone
    感谢17楼提供信息来源
    Andiry
        20
    Andiry  
       2015-08-12 11:48:29 +08:00
    y580用了三年,没发现有这个问题。
    twitterpig
        21
    twitterpig  
    OP
       2015-08-12 12:30:55 +08:00 via Android
    fo2w
        22
    fo2w  
       2015-08-12 12:43:32 +08:00
    C盘是操作系统级的概念, BIOS和它是个单向认识关系
    操作系统认识BIOS, 但是BIOS并不认识操作系统, BIOS眼里只有磁盘, 这是传统的BIOS

    ok, 现在是EFI/UEFI, 然而, 要准确识别出C盘, 还要解读文件系统
    挂载官方ntfs? 不现实, BIOS伪造它的驱动栈环境太恶心
    摘开源ntfs解析代码来搞? 不现实, 泄露的win2k代码稳定性都比开源那份好太多, 用开源那份就是自己作死

    好吧, 我就假设你可以正常读写ntfs了吧, 这才是第一步
    然后我要看有几个分区...
    然后... 我要看看哪个是系统盘... 恶心, 又是一堆事情, ntfs mft遍历遍历遍历...
    运气不好出现几个C:\windows\system32, D:\windows\system32, 又得哭

    好了, 知道哪个是系统盘了, 我要开始写文件啦, 好啦, ntfs写文件那套要实现一遍
    等等, 直接覆盖文件可能ntfs里面刨不出足够大的空洞, 要不选择删除, 新建
    要不选择覆盖, 做multi part文件, 唉, 反正都恶心, 好不容易写进去了, 擦擦屁股, 完事

    等等... 我才搞定了ntfs...
    万一它磁盘分区是FAT32呢...
    呢...
    呢...
    呢...
    cuiweiqiang
        23
    cuiweiqiang  
       2015-08-12 13:14:58 +08:00
    这事怎么感觉这么扯淡呢?怎么实现的?
    ipv6nxtgnwrt
        24
    ipv6nxtgnwrt  
       2015-08-12 15:37:43 +08:00
    我的硬盘用了BitLocker加密,BIOS有本事也来写程序啊。
    ibremn
        25
    ibremn  
       2015-08-12 16:55:31 +08:00
    @fo2w 看17楼的链接,联想说是用 Microsoft Windows Platform Binary Table (WPBT) 实现的。。

    访问那个json链接,还有个 ForceUpdate 字段。。啊这比XX卫士XX全家桶不知高到哪里去了
    ╮( ̄▽ ̄")╭
    denghongcai
        26
    denghongcai  
       2015-08-12 17:17:32 +08:00
    WPBT这有点6啊,ACPI一般都能随便改
    二手商或者能接触主板的把BIOS一刷,好猛的样子
    denghongcai
        27
    denghongcai  
       2015-08-12 17:19:56 +08:00
    @denghongcai 普通人要实现这样的攻击思路还是略麻烦的
    est
        28
    est  
       2015-08-12 17:25:59 +08:00
    抄袭一句评论:请安装《BIOS卫士》。。。。。。。。。。。。。。。。。
    Reficul
        29
    Reficul  
       2015-08-12 18:04:03 +08:00 via Android
    貌似是win提供的接口啊,辣么只有改BIOS,装不支持的系统版本,Linux三条路啦。

    就怕这个先例一开,以后各种XX卫士用这个方式“自保”,避免自身被”恶意删除“😨。毕竟有凤凰工具这些可以增减模块的工具存在,保不齐送电脑城回来之后就被贴心关怀了。
    JohnChu
        30
    JohnChu  
       2015-08-12 22:30:55 +08:00 via Android
    所以我信不过国产品牌或者特供中国的产品,真不明白大家为什么喷我
    crayygy
        31
    crayygy  
       2015-08-13 09:30:21 +08:00
    所以,如果我装的是Linux发行版会怎么样呢 = = 好奇联想会用什么办法
    acess
        32
    acess  
       2015-08-14 03:07:18 +08:00 via Android
    @Reficul 放心吧……电脑城的人不敢随便刷BIOS。

    但是,可以在启动前注入WPBF表啊。
    虽然我是外行,但我想说,网上那么多windows 7 loader都可以注入SLIC表,它们大多是grub4dos之类引导器改过代码编译出来的吧,patch在网上也能搜到。
    对于UEFI,我用过windslic(来自mydigitallife论坛),原作者的版本不会处理原有SLIC表,所以启动后可以看到两个SLIC……但有人自己改过代码,自称解决了此问题,解决方法是把原有SLIC改名为OEMx。
    也许以后会出现所谓的“WPBF BOOTKIT”吧。

    但我想说,UEFI貌似实现多有bug,我自己的笔记本启动项就不能正常增删编辑,也见过无法修改UEFI启动项的机器,三星笔记本还被爆出变砖事故……
    虽然现状如此,但WindSLIC作者就提供了绕过办法:重命名,替换文件……

    不知道实际上可不可行(可行的话也与我无关╮(╯▽╰)╭),如果有人这么干了,数字这样的厂商又该开发所谓“引导保护”之类的东西了吧。

    也许,Secure Boot可以阻止这种事情发生。
    acess
        33
    acess  
       2015-08-14 03:10:12 +08:00 via Android
    @Reficul 打错了,WPBF->WPBT
    cnnblike
        34
    cnnblike  
       2015-09-15 22:12:21 +08:00
    @PowerK6 Think-brand PCs are unaffected. 区别对待真是迷了。 Thinkpad 的钱不是白花的啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   834 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:57 · PVG 04:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.