web-dev-qa-db-ja.com

マルウェアは同じマシン上のOS間で移行できますか?

ここで働いている誰かが興味深い主張をしました。彼らは、それがマルウェアの可能性があると述べました。 Windows、再起動後もRAM=にとどまり、起動時にマシンのLinuxで作業を続けるには.

彼らは正しいですか?それが不可能であることはほぼ確実ですが、修正されてうれしいです。

2
tink

それらは正しくありません。マシンの再起動後にメモリに残っているものは、上書きされていなくてもアクティブになりません。これは、使用されているオペレーティングシステムに、メモリ内の未割り当て領域を調べ、コードのように見えるものを実行するコードがないためです。特別に設計されたマルウェアがクロスプラットフォームになり、常駐しているストレージデバイスにアクセスすることで別のオペレーティングシステムに感染する可能性がありますが、再起動後もメモリに留まることで感染を持続させることはできません。ブートプロセスのより包括的な説明については、「 システム初期化(x86)-OSDev 」を参照してください。

これはシステムメモリにのみ適用されることに注意してください。理論的には、 GPUで実行 であるマルウェアは再起動後も存続する可能性があります。この理由は、ウォームリブートではCPUがリセットされるだけだからです。周辺機器の電源を入れ直さないため、ブートプロセス全体を通じてディスクリートGPUがコードを実行し、メモリを保持します。 GPUで実行するように作成されたマルウェアは、 ダイレクトメモリアクセス を使用して、メインのオペレーティングシステムに悪意のあるコードを再挿入します。ただし、これはかなりハードウェア固有であり、デバイスがコールド状態から起動された場合(つまり、GPUを含めて実際に電源が切断されている場合)は機能しません。

2
forest