weixin_75277087的博客

翻译 Cosmicstrand UEFI固件木马的分析报告总结

而在这一过程中面临最大的问题在于，木马在加载操作系统引导时便开始运行，这就导致了设计者需要找到能贯穿Windows系统启动过程的传递恶意代码的方法。这种感染方式使得恶意软件能够在系统启动的最早阶段就获得控制权，从而实现极高的隐蔽性和持久性CosmicStrand将恶意代码嵌入到主板的固件中，这使得传统的安全软件难以检测到其存在。使用解析的函数，它还会在内核的地址空间中分配一个缓冲区，在调用 shellcode 之前，它会在其中映射 shellcode。发生这种情况时，恶意代码会再次获得对执行的控制权。