过于严重，不可描述。总是有人想害朕。-优快云博客

最近电脑问题挺严重的。无论用什么播放器或者浏览器播放视频，都有软件在录制我的视频，屏幕上还有一个透明的框，鼠标移上去会隐藏。输入文字卡顿，怀疑是键盘记录，拔掉网线后输入正常，但重装系统甚至重新分区都没用，可能BIOS被感染了。现在急需找到一个简便的处理方式。

首先，得确定可能的攻击途径。

我已经重装系统并重新分区，系统源从微软官方下载的windows11 企业版，安装后无做任何其它安装。问题依旧，说明恶意软件可能存在于系统之外的地方，比如BIOS/UEFI固件、硬盘的隐藏分区，或者连接到网络的设备如路由器。另外，可能存在硬件层面的恶意设备，比如被篡改的USB设备或网卡。

当我拔掉网线后输入文字正常，联网后就会卡顿。这可能意味着恶意软件依赖网络传输数据，或者有远程控制组件在联网时活动。但重装系统无效，所以得考虑更底层的感染，比如固件级别的恶意软件。

接下来，我需要回忆处理此类高级威胁的方法。通常，固件级别的病毒比较棘手，需要更新或重新刷写BIOS/UEFI。此外，检查硬盘的引导记录，使用专门的工具扫描。可能还需要检查外围设备，确保没有恶意硬件。

我需要进入安全环境，比如使用干净的USB启动盘运行杀毒软件，检查所有硬件。同时，也联系专业的安全团队，因为固件攻击通常需要专门的工具和知识。暂时未找到合适的团队和个人。

这个半透明框可能是一个屏幕覆盖的恶意程序，这类程序可能在系统启动时加载，即使重装系统也可能存在。需要检查启动项、计划任务、服务等持久化机制。不过已经重装系统，所以可能这些已经不存在，但固件中的恶意代码可能重新部署它们。

可能还需要检查网络设置，DNS劫持或路由器被入侵也可能导致持续监控。用户拔掉网线后输入正常，说明网络活动可能与攻击有关，但重装系统无效，所以问题可能不在操作系统层面，而在更底层或外部设备。

我总结几个步骤：1. 检查并更新BIOS/UEFI。2. 使用专业工具扫描固件和硬盘。3. 检查外围设备和网络设备。4. 在隔离环境中彻底杀毒。5. 必要时更换硬件或寻求专业帮助。

我做一些记录，看看到底能不能对抗这个黑客、病毒。

提取固件镜像
- 使用专用工具 ChipSec（Intel）或 UEFITool 导出当前BIOS镜像：
```
chipsec_util.exe spi dump bios.bin
```
- 上传至 VirusTotal固件分析页面检测恶意代码
强制刷新固件
- 从主板官网下载 最新BIOS固件（如华硕主板使用EZ Flash 3工具）
- 使用烧录器（如CH341A）对主板芯片进行物理重刷（需拆机操作）

进入TPM管理界面（开机按Del/F2）检查：
- 是否出现未知的Endorsement Key
- 执行 tpmtool.exe getdeviceinformation 查看证书链异常

硬盘物理擦除
- 使用 ATA Secure Erase 命令彻底清除SSD/HDD（超越常规格式化）
```
hdparm --user-master u --security-erase PasSW0rd /dev/sda
```
- 对机械硬盘进行 消磁处理（需专业设备）
外设固件检查
- 使用 USBDeview 分析USB设备固件版本
- 对键鼠进行硬件重置（部分罗技设备需长按DPI键10秒）

使用 专用设备（如MacBook+T2安全芯片）制作Linux急救盘：
- 下载 Qubes OS 镜像，通过 dmesg 日志分析DMA攻击痕迹
通过硬件写保护接口挂载硬盘（需使用PCIe/USB物理写保护卡）

使用 Volatility 3 提取内存镜像：

python3 vol.py -f memory.dmp windows.pslist | grep -i "explorer.exe"

网络流量混淆
- 部署 Obfsproxy 混淆流量特征（对抗DPI检测）
```
obfs4proxy -enableLogging -logLevel DEBUG
```
硬件防火墙配置
- 在路由器上设置 MAC白名单，阻断未知设备接入
- 启用802.1X端口认证（需企业级交换机支持）