É possível um vírus infectar a partição efi e partição de recuperação?

Roberth R. Garci4 · 20 de janeiro de 2023

É POSSÍVEL UM VÍRUS INFECTAR A PARTIÇÃO EFI e ou PARTIÇÃO DE RECUPERAÇÃO?

Estive observando que o Windows 10 criou duas partições no qual não consigo excluir:

Partição do sistema EFI com 100 MB
Partição de recuperação com 519MB

Um vírus ou malware persistente conseguiria se instalar ali? E mesmo após uma formatação completa/tradicional, eles sobreviveria?

Após a formatação o Windows apaga tudo e sobrescreve estas partes ou fica vestigios da instação anterior?

O que impede de um virus de resistir nesses locais?

Consegue formatar completamente o SSD apenas com o comando disk part plugando em outro computador.

Qual o procedimento completo para formatar o pc e deixar completamente livre de vírus que poderia sobreviver a formatação?

madclocker · 20 de janeiro de 2023

Meu caro, você não pode excluir essas partiçoes. A EFI é responsável pela inicialização do sistema. Um vírus pode sim atacar esse setor, apesar dele ter uma segurança maior. Mas isso é um risco do Windows.

Nessa partição EFI fica o BCD e alguns drivers para inicialização do seu sistema, o que garante uma atualização muito mais rápida. Alí também estão todas as informacões sobre suas partições. Se você pudesse excluir a partição EFI, seu disco ficaria totalmente inacessível na hora. Essa partição veio em substituição ao antigo Master Boot Record (MBR).

Ou seja, deixa o EFI quietinho no lugar dele, e proteja-se com um bom antivírus, de preferência pago, não faça downloads de locais não confiáveis, muito cuidado com pen drives, e use um bom firewall (para quem gosta de ter o controle de tudo, recomendo o Comodo, que tem uma versão gratuita poderosíssima).

Henrique - RJ · 21 de janeiro de 2023

@Roberth R. Garci4

Notícia de 2011:

https://g1.globo.com/tecnologia/noticia/2011/09/descoberto-novo-virus-capaz-de-sobreviver-reformatacao-do-HD.html

Marcos FRM · 21 de janeiro de 2023

Secure Boot foi inventado para ajudar a combater isso.

Ainda tem a tal Windows Platform Binary Table (WPBT). Funcionamento:

https://persistence-info.github.io/Data/wpbbin.html

Caso de 2015, em que a Lenovo usava o recurso para instalar crapware:

https://www.extremetech.com/computing/212074-lenovo-laptops-can-reinstall-bundled-crapware-even-if-you-load-a-retail-copy-of-windows

https://arstechnica.com/information-technology/2015/08/lenovo-used-windows-anti-theft-feature-to-install-persistent-crapware/

É por aí que o famoso Computrace volta das cinzas em instalações limpas. A diferença dos links acima é que a não tinha como desativar no BIOS e servia para instalar porcaria, não um software antirroubo legítimo. Tem uma chave no registo que faz o Windows ignorar a WPBT (DisableWpbtExecution=1 em HKLM\SYSTEM\CurrentControlSet\Control\Session Manager)...

GabrielLV · 22 de janeiro de 2023

@Henrique - RJ

Informação bem interessante na verdade. Apesar de esse malware em específico não ser capaz de infectar a UEFI e a partição EFI das versões modernas do Windows, isso nos mostra que o alcance de determinados malwares vai muito além de apenas infectar o Windows...

Em 20/01/2023 às 17:32, Roberth R. Garci4 disse:

É POSSÍVEL UM VÍRUS INFECTAR A PARTIÇÃO EFI e ou PARTIÇÃO DE RECUPERAÇÃO?

Sim. Ambas as partições possuem segurança reforçada, porém nenhum sistema é 100% seguro. Se um hacker conseguir burlar seus sistemas de proteção, ele pode injetar um código malicioso ali, assim como sempre fazem com qualquer outro sistema.

Em 20/01/2023 às 17:32, Roberth R. Garci4 disse:

Estive observando que o Windows 10 criou duas partições no qual não consigo excluir:

Partição do sistema EFI com 100 MB

Partição de recuperação com 519MB

Amigo, não tente consertar o que não está quebrado. Por qual motivo, exatamente, você quer excluir essas partições? A partição de recuperação contém o software WinRE, que permite que você restaure o Windows em caso de falhas. E a partição EFI contém os arquivos de inicialização. Se apaga-la, o Windows não irá iniciar mais. É sempre bom se informar sobre o que determinada função do Windows faz antes de simplesmente chegar ali e tentar apaga-la....

Em 20/01/2023 às 17:32, Roberth R. Garci4 disse:

Após a formatação o Windows apaga tudo e sobrescreve estas partes ou fica vestigios da instação anterior?

Somente se, na hora da formatação, você apagar todas as partições, para que o Windows as recrie do zero.

Em 20/01/2023 às 17:32, Roberth R. Garci4 disse:

O que impede de um virus de resistir nesses locais?

Se um hacker souber burlar o sistema de proteção e implementar isso em um malware e distribuí-lo na internet, e você ir lá, desativar o antivírus, baixar e instalar esse malware, então nada irá impedir

Em 20/01/2023 às 17:32, Roberth R. Garci4 disse:

Qual o procedimento completo para formatar o pc e deixar completamente livre de vírus que poderia sobreviver a formatação?

Simplesmente apague todas as partições conforme dito acima. Hoje em dia, é extremamente difícil ser infectado com algum tipo de malware que infecte a BIOS/UEFI da placa-mãe ou outra região do computador. É muito mais provável que os malwares fiquem instalados no HD/SSD, assim como qualquer outro programa.

E também, não há necessidade alguma de sair formatando máquinas para remover vírus. Basta instalar um antivírus, configura-lo para o nível mais alto de proteção e realizar uma verificação completa no computador a procura de malwares. Há, também, a opção de usar um serviço de remoção de malware, como o que existe aqui no Clube do Hardware: https://www.clubedohardware.com.br/forums/forum/89-remoção-de-malware/

Assista esses vídeos para que você entenda um pouco mais do assunto:

Roberth R. Garci4 · 23 de janeiro de 2023

Ola! Já adianto e agradeço a todos por responderem! !

@madclocker

Muito obrigado por suas explicações! Para completar e entender melhor o que você disse, fiz uma pesquisa rápida aqui na internet e vi que são áreas realmente importantes para O Windows. Contudo, eu que não fui claro nas minhas dúvidas, talvez.

Esse SSD é de uma máquina no qual eu pretendia formatar completamente, deixando-o como nuca tivesse sido usado. Eu pluguei ele em outra máquina, e, aí sim, consegui apagar todas essas partições, não pelo gerenciador de discos do Windows, mas pelo prompt de comando, com diskpart, usando o comando “clean”. Dessa forma segui um tutorial, e depois de tudo, no gerenciador de discos do Windows, ele aparecia sem essas duas partições.

Achei interessante que, se eu estivesse tentando formatar esse SSD com Windows instalado nele, eu entenderia o motivo de não ser possível apagar essas partições, já que eles são importantes para o Windows iniciar. Mas eu estava tentando limpar esse SSD através de outro computador, ou seja, com outro Windows em outro SS, e mesmo assim o Windows não me permitia apagar essa área do disco, mas pelo prompot de comando permitia.

Citação

“Se você pudesse excluir a partição EFI, seu disco ficaria totalmente inacessível na hora.”

Não sei se agora, depois da minha explicação, você entendeu o que eu queria. A ideia era essa mesmo, apagar tudo, e instalar do zero mesmo! Deixar o SSD zerado, sem vestígio de uso, caso tivesse algum malware alocado nesses setores do disco, seria apagado.

Citação

“Ou seja, deixa o EFI quietinho no lugar dele, e proteja-se com um bom antivírus, de preferência pago, não faça downloads de locais não confiáveis, muito cuidado com pen drives, e use um bom firewall (para quem gosta de ter o controle de tudo, recomendo o Comodo, que tem uma versão gratuita poderosíssima)”

Obrigado pelas dicas, novamente! Eu acho que tenho boas práticas de segurança, comparando com a maiorias do usuários doméstico comuns. O problema que esse SSD era de outras máquinas no qual não era eu que utilizava. O procedimento era pra ter certeza que caso houvesse algo, não haveria possibilidade de algum malware persistir após a formatação.

@Henrique - RJ bem antigo essa noticia heim! Kkkk

@Marcos FRM Você me deu uma clareada nas ideias aqui! Talvez você me deu um Norte….

Obrigado pelos links! Li seu post sobre secure boot e também li os outros links. Não sei se entendi muito bem… vou ter que aprofundar mais nessa parte da placa-mãe: Legacy/CSM e UEFI com Secure Boot! Tá aí uma coisa que passou e nem lembrei que existia! No passado já tinha lido rapidamente sobre isso, mas nunca aprofundei. Fiquei na dúvida se o secure boot seria a solução para minha dúvida/segurança.

A máquina já tá formatada, com as partições apagadas através de outro computador e eu não conferi o secure boot antes.. … :-(

Depois que formatei (Windows “limpinho”, programas instalados…) e máquina erguida perfeitamente, entrei no UEFI e habilitei o secure boot. E aí? Será que se houvesse alguma carga maliciosa no SSD pelo antigo usuário, ele teria passado para a nova instalação sem esse secure boot? Ou se tivesse algo malicioso no UEFI da placa-mãe, teria o Windows executado essa carga maliciosa?

Depois de habilitado o Secure Boot na placa-mãe, o Windows recém formatado ligou normal. Agora o Windows está mais seguro para futuras formatações? Ou agora não adianta mais?

Sobre o Windows Platform Binary Table eu não sei se entendi bem. Entrei em todos os links que você postou. Li o seu post e traduzi os outros…. Então me parece que é possível modificar UEFI de forma que após uma instalação limpas do SO o Malware volte ao sistema? Assim como a Lenovo fez? Se a Lenove fez, quem garante que um hacker não possa fazer? Em caso de "infecção" UEFI, para eliminar o problema bastaria atualizar a UEFI da placa-mãe, assim como fazemos as vezes para aceitar um processador mais recente ou atualização de algum problema/ estabilidade da placa-mãe etc?

Em resumo:

Há duas formas de um malware persitir no sistema??

Através da infecção de uma partição EFI e partição de recuperação.

UEFI moficada na placa-mãe (Antiga BIOS ou posso chama-la de BIOS da placa-mãe ainda?)

Dei uma lida nesse tópico aqui também no FCdH sobre o Computracer: https://www.clubedohardware.com.br/forums/topic/468781-computracer-alguém-sabe-o-que-%C3%A9-isso/page/2/#comments

Então se o Computrracer existiu ou existe, tecnicamente é possível um hacker modificar o UEFI para persistir no sistema mesmo após a formatação. A atualização da BIOS resolveria isso? Ou o correto é dizer “atualização de UEFI” já que o BIOS é sistema antigo das placas mãe?

Então é possível a infecção da UEFI, nem que seja na teoria? E o Secure Boot foi inventado para ajudar a combater isso?

Citação

uma chave no registo que faz o Windows ignorar a WPBT (DisableWpbtExecution=1 em HKLM\SYSTEM\CurrentControlSet\Control\Session Manager)...

Mas se a carga maliciosa está na UEFI, e após o primeiro boot o malware volta ao sistema, desabilitar essa chave não adiataria muito. OU NÃO? Em qual cenário isso é útil?

@GabrielLV

Citação

“Amigo, não tente consertar o que não está quebrado. Por qual motivo, exatamente, você quer excluir essas partições? A partição de recuperação contém o software WinRE, que permite que você restaure o Windows em caso de falhas. E a partição EFI contém os arquivos de inicialização. Se apaga-la, o Windows não irá iniciar mais. É sempre bom se informar sobre o que determinada função do Windows faz antes de simplesmente chegar ali e tentar apaga-la...”

É como eu eu respondi aos outros membros do fórum: eu queria limpar completamente o SSD, como ele veio de fábrica. Sem chances ficar algum malware no mesmo. Mas percebi que o problema maior vai estar é no UEFI da placa-mãe. Ela que pode conter a carga maliciosa e instalar novamente no Windows recém formato. OU é nos dois mesmo?

Citação

“E a partição EFI contém os arquivos de inicialização”

A ideia era apagar tudo mesmo… tanto que tentei apagar de outro computador, ou seja, de outro Windows e mesmo assim não aparecia a opção. Só deu certo pelo prompt de comando usando o “clean” pelo diskpart. Depois no gerenciador de discos aparecia sem nenhuma partição.

Citação

“Somente se, na hora da formatação, você apagar todas as partições, para que o Windows as recrie do zero.”

Eu fiquei muito na dúvida se o Windows realmente faria isso, já que após a instalação, e observando as partições dentro da própria máquina, aparecia sempre essas duas partições. Eu fiquei MUITO na dúvida se ele apagava completamente e reescrevia sobre essas partições, eliminando em 100% chance de um Malware voltar ao sistema novo.

Citação

“Simplesmente apague todas as partições conforme dito acima. Hoje em dia, é extremamente difícil ser infectado com algum tipo de malware que infecte a BIOS/UEFI da placa-mãe ou outra região do computador. É muito mais provável que os malwares fiquem instalados no HD/SSD, assim como qualquer outro programa.”

Entendi. Mas mesmo que fosse difícil, teoricamente é possível. Sendo assim, atualizar o UEFI/BIOS resolveria o problema? Ou somente trocando a placa-mãe ou soldando outro chip na placa-mãe?

Como “formata” o UEFI? Atualizando o UEFI?

BIOS é coisa de placa-mãe antiga. Hoje podemos só falar em UEFI? “atualização de UEFI”? Vejo muita gente falando “atualiza a BIOS, para instalar o processador mais moderno” ; “Requer atualização de BIOS” Ou seja, podemos substituir o termo BIOS por UEFI?

Citação

E também, não há necessidade alguma de sair formatando máquinas para remover vírus. Basta instalar um antivírus, configura-lo para o nível mais alto de proteção e realizar uma verificação completa no computador a procura de malwares. Há, também, a opção de usar um serviço de remoção de malware, como o que existe aqui no Clube do

Entendi. Mas seria mais por precaução e estabilidade do sistema mesmo. Versão nova do Windows etc. E máquinas com SSD e formatação por pendrive não demora 5 min. Mas em todo caso obrigado pelas dicas!

Marcos FRM · 23 de janeiro de 2023

7 horas atrás, Roberth R. Garci4 disse:

Mas eu estava tentando limpar esse SSD através de outro computador, ou seja, com outro Windows em outro SS, e mesmo assim o Windows não me permitia apagar essa área do disco, mas pelo prompot de comando permitia.

O Windows tem essas restrições artificiais.

7 horas atrás, Roberth R. Garci4 disse:

Deixar o SSD zerado, sem vestígio de uso, caso tivesse algum malware alocado nesses setores do disco, seria apagado.

diskpart clean é suficiente (ou clean all se estiver paranoico). Você consegue rodá-lo dentro do ambiente do instalador do Windows inclusive, basta usar o atalho Shift+F10 para abrir o prompt de comando. É bem útil.

7 horas atrás, Roberth R. Garci4 disse:

Obrigado pelos links! Li seu post sobre secure boot e também li os outros links. Não sei se entendi muito bem… vou ter que aprofundar mais nessa parte da placa-mãe: Legacy/CSM e UEFI com Secure Boot!

Legacy/CSM é porcaria obsoleta que já deveria ter desaparecido por completo do ecossistema dos PCs. É um absurdo ainda estar disponível em hardware novo em pleno 2023. A Intel prometeu acabar com o CSM a partir de 2020...

https://uefi.org/sites/default/files/resources/Brian_Richardson_Intel_Final.pdf

...porém não cumpriu a promessa. Continua aí firme e forte incomodando. Faltou combinar com os retardatários da indústria...

7 horas atrás, Roberth R. Garci4 disse:

Depois de habilitado o Secure Boot na placa-mãe, o Windows recém formatado ligou normal. Agora o Windows está mais seguro para futuras formatações? Ou agora não adianta mais?

Sim, está.

Secure boot estabelece uma cadeia de confiança: à medida que cada binário é executado, assinaturas digitais são conferidas. É crucial para proteger o estágio inicial da inicialização, até o kernel ser carregado. No caso do Windows, a transição do BIOS para o bootmgfw.efi, e dele para o winload.efi. Depois ntoskrnl.exe assume o controle e sabe andar com as próprias pernas. É impossível adulterar um binário e manter sua assinatura digital válida; portanto, dificulta muito para algo malicioso no meio do caminho.

7 horas atrás, Roberth R. Garci4 disse:

UEFI moficada na placa-mãe (Antiga BIOS ou posso chama-la de BIOS da placa-mãe ainda?)

Tecnicamente não é mais BIOS. É UEFI. No entanto, o termo BIOS é tão tradicional que acabei me rendendo e chamo de "BIOS UEFI", que é a forma como a própria AMI chama. Para simplificar, vamos chamar de "BIOS" apenas, pressupondo que seja UEFI.

Sim, é uma (remota) possibilidade. No entanto, o binário da tabela ACPI em questão tem que ter uma assinatura digital válida e os requerimentos são os mesmos de drivers (política Kernel Mode Code Signing), que são mais exigentes. A Lenovo conseguia abusar da sua posição no mercado e colocar instalador de crapware assinado. O Zé Mané da esquina terá mais dificuldade de colocar algo malicioso ali, pois, não sendo assinado, não será executado.

O Computrace é um software legitimo antirroubo, que tenta se auto instalar no Windows dessa forma.

8 horas atrás, Roberth R. Garci4 disse:

Mas se a carga maliciosa está na UEFI, e após o primeiro boot o malware volta ao sistema, desabilitar essa chave não adiataria muito. OU NÃO? Em qual cenário isso é útil?

Teria que ser desativada na primeira inicialização. Não sei se é possível. Talvez através do mecanismo unattend.xml? Demanda pesquisa.

Roberth R. Garci4 · 23 de janeiro de 2023

@Marcos FRM olá! Muito obrigado pelas respostas!

Citação

“diskpart clean é suficiente (ou clean all se estiver paranoico). Você consegue rodá-lo dentro do ambiente do instalador do Windows inclusive, basta usar o atalho Shift+F10 para abrir o prompt de comando. É bem útil.”

Estava sim muito paranoico! E não sabia que era possível usar o prompt de comando no momento de instalar o Windows. Não seria preciso esse trabalho todo que tive: tirar SSD da máquina e plugar em outra e depois executar esses comandos. Esse “clean all” elimina todas as partições e formata no formato lento ou rápido?

Citação

“Secure boot estabelece uma cadeia de confiança: à medida que cada binário é executado, assinaturas digitais são conferidas. É crucial para proteger o estágio inicial da inicialização, até o kernel ser carregado. No caso do Windows, a transição do BIOS para o bootmgfw.efi, e dele para o winload.efi. Depois ntoskrnl.exe assume o controle e sabe andar com as próprias pernas. É impossível adulterar um binário e manter sua assinatura digital válida; portanto, dificulta muito para algo malicioso no meio do caminho.”

Entendi. Novamente muito obrigado pelas explicações!

Citação

“Tecnicamente não é mais BIOS. É UEFI. No entanto, o termo BIOS é tão tradicional que acabei me rendendo e chamo de "BIOS UEFI", que é a forma como a própria AMI chama. Para simplificar, vamos chamar de "BIOS" apenas, pressupondo que seja UEFI.”

Entendi! Muito grato! :-) :-)

Uma coisa que percebi: a segurança do software, começa então, pelo hardware! E onde entra o TPM (Trusted Platform Module) nessa história? Só fiquei sabendo desse TPM graças aos Windows 11. O TPM ajuda a proteger nesse cenário de malware persistir no sistema pela UEFI?

Vou dar uma fuçada na BIOS das máquinas aqui e ver se desabilito o Legacy/CSM. Qual a maneira fácil de olhar se as placas mais antigas tem somente UEFI? Como eu posso me certificar que minha placa-mãe é UEFI CLASSE 3?

E para finalizar, atualizar a BIOS (UEFI) remova algum virus que tenha infectado a placa-mãe? Ou mesmo se reinstalar ou atualizar, não adiantaria mais?

Citação

Teria que ser desativada na primeira inicialização. Não sei se é possível.

Entendi.

Citação

Talvez através do mecanismo unattend.xml? Demanda pesquisa.

Nem sei o que é unattend.xml... rsrsrsr sou leigo. Deixa quieto. :-)

@Marcos FRM muito obrigado!

GabrielLV · 23 de janeiro de 2023

16 horas atrás, Roberth R. Garci4 disse:

Depois que formatei (Windows “limpinho”, programas instalados…) e máquina erguida perfeitamente, entrei no UEFI e habilitei o secure boot. E aí? Será que se houvesse alguma carga maliciosa no SSD pelo antigo usuário, ele teria passado para a nova instalação sem esse secure boot? Ou se tivesse algo malicioso no UEFI da placa-mãe, teria o Windows executado essa carga maliciosa?

Se houvesse qualquer tipo de malware instalado no SSD, a formatação consiste em apagar tudo o que está instalado nele para reinstalar o Windows do zero. Isso inclui as partições adicionais que o próprio Windows cria. Ele poderia estar infectado com 10 mil tipos de malwares, mas ao apagar as partições, tudo seria apagado, ou seja, os malwares não voltariam na próxima instalação.

Veja a noticia abaixo:

https://tecnoblog.net/noticias/2022/07/27/malware-sofisticado-e-descoberto-em-placas-mae-da-ASUS-e-gigabyte/

Existem alguns malwares para UEFI atualmente. Porém, todos os que eu já li a respeito, eles exigem acesso físico ao computador para que eles sejam instalados. Na noticia acima, as empresas de segurança ainda não sabem como o malware em questão consegue infectar placas-mãe, sendo que a possibilidade mais aceita é que algumas unidades foram adulteradas antes de serem vendidas para os consumidores finais. Isso levanta um ponto muito importante que sempre deve ser seguido a risca: Preste atenção no que você compra e onde você compra.

E numa situação hipotética, se a UEFI da sua placa-mãe estivesse infectada, e você fosse lá e ativasse o Secure Boot, não há como saber se apenas isso iria ou não inibir esse malware, pois irá depender de o que exatamente ele foi programado pra fazer. Lembre-se que malwares são simplesmente programas que foram desenvolvidos por algum programador/hacker para realizar alguma tarefa X, e é impossível prever o que exatamente um determinado malware faz, visto que isso irá do seu criador, e isso não é uma receita de bolo.

16 horas atrás, Roberth R. Garci4 disse:

Há duas formas de um malware persitir no sistema??

A resposta para isso é simples: O malware está no HD ou no SSD? Então você tem que limpar os dois. O malware está na placa-mãe? Então atualize/regrave o BIOS/UEFI.

O termo "persistir após a formatação" sempre trás uma ideia completamente errada, como se existisse algum malware "invencível" que não importa o que você faça, ele irá continuar ali, sendo que não é assim que funciona e eu pessoalmente evito ao máximo usar esse termo. Vamos fazer uma comparação: Seu pulmão está infectado? Não adianta tomar remédio para dor de cabeça. Se o malware continua no seu computador mesmo após a formatação, isso ocorre porque ele não está salvo no HD/SSD, mas sim em outro lugar (provavelmente no BIOS/UEFI).

16 horas atrás, Roberth R. Garci4 disse:

Então se o Computrracer existiu ou existe, tecnicamente é possível um hacker modificar o UEFI para persistir no sistema mesmo após a formatação. A atualização da BIOS resolveria isso?

Depende. Existem atualizações de BIOS/UEFI que reescrevem-na totalmente, e existem atualizações incrementais. Isso é, elas não modificam o BIOS/UEFI por completo, elas apenas acrescentam arquivos ou editam arquivos já existentes no chip com as correções/atualizações. Dependendo do cenário, você terá que comprar o equipamento necessário para fazer a regravação do BIOS/UEFI.

Lusitano · 23 de janeiro de 2023

24 minutos atrás, GabrielLV disse:

O termo "persistir após a formatação" sempre trás uma ideia completamente errada, como se existisse algum malware "invencível" que não importa o que você faça, ele irá continuar ali, sendo que não é assim que funciona e eu pessoalmente evito ao máximo usar esse termo.

Tudo o que foi dito pelo amigo @GabrielLV está mais do que correto. Apenas poderei acrescentar para que possam melhor entender, é que de fato há malwares "persistentes" mas dando um exemplo ao que o Gabriel falou seria quase quanto á formatação, seria como se você num carro instalasse tudo novo, mantendo apenas a carroçaria… ela até podia conter ferrugem, mas daí até ser isso que iria fazer parar o motor seria praticamente impossível.

Segurança digital requer diferentes fatores e então, NÃO vale a pena estar focado em apenas um fator, o que maioritariamente esbarra na escolha de qual o antivírus a usar (por exemplo), quando em bom rigor embora isso seja importante é apenas um desses fatores que aumentam a segurança.

Marcos FRM · 23 de janeiro de 2023

5 horas atrás, Roberth R. Garci4 disse:

Estava sim muito paranoico! E não sabia que era possível usar o prompt de comando no momento de instalar o Windows. Não seria preciso esse trabalho todo que tive: tirar SSD da máquina e plugar em outra e depois executar esses comandos. Esse “clean all” elimina todas as partições e formata no formato lento ou rápido?

diskpart clean apaga o primeiro e o último megabyte do disco. É o suficiente para todos os sistemas operacionais considerarem o disco como não particionado; ou seja, vazio. Tudo será recriado depois. diskpart clean all escreve zeros em todo o disco.

3 horas atrás, GabrielLV disse:

Existem alguns malwares para UEFI atualmente. Porém, todos os que eu já li a respeito, eles exigem acesso físico ao computador para que eles sejam instalados.

Não conheço os detalhes, porém o mecanismo de atualização pode ser um risco. PCs de grife, pelo menos os com foco no mercado corporativo (Dell Optiplex, HP ProDesk, etc), fazem validação de assinatura digital dos arquivos de atualização através do mecanismo de cápsula UEFI, para bloquear BIOS Mods. Ouço falar que é muito eficiente, sendo que a única maneira de colocar um BIOS modificado é usando um gravador de EPROM externo. Não basta iniciar com um pendrive milagroso e tal; tem que abrir a máquina e pendurar um jacaré no chip, senão não tem jeito.

Os fabricantes de placas-mãe avulsas estão sempre séculos atrasados nessas coisas (vide o fiasco com Secure Boot, CSM, ...). Teria que pesquisar quão popular é esse tipo de coisa no hardware dos pobres mortais.

5 horas atrás, Roberth R. Garci4 disse:

Uma coisa que percebi: a segurança do software, começa então, pelo hardware! E onde entra o TPM (Trusted Platform Module) nessa história? Só fiquei sabendo desse TPM graças aos Windows 11. O TPM ajuda a proteger nesse cenário de malware persistir no sistema pela UEFI?

Sim, TPM é um processador dedicado para criptografia -- pode ser discreto (um chip separado na placa-mãe), ou emulado pelo BIOS (fTPM), rodando isolado, num modo seguro do processador, que a AMD chama de Platform Security Processor (PSP) e a Intel de Trusted Execution Technology (TXT).

https://en.wikipedia.org/wiki/Trusted_execution_environment

Tutorial introdutório:

http://www.hansenpartnership.com/Impress-Slides/Beginners-Guide-TPM-2016/

Curiosidade. Numa implementação fTPM, ao trocar de processador, o ambiente onde o código é executado é modificado e o BIOS trata a Storage Root Key (SRK) como inválida, o que invalida todas as demais chaves armazenadas. Por isso aquele famoso aviso:

Se o TPM estiver servindo para desbloquear o BitLocker, sem a SRK, será necessária a chave de recuperação (aquela que o assistente do BitLocker pede para salvar num pendrive). Caso não tenha a chave de recuperação, adeus arquivos: nunca mais ficarão acessíveis. Ao clicar em "Y", uma nova SRK é gerada e o BitLocker terá que ser reconfigurado (com a chave de recuperação é possível).

Por isso tem a opção "N" como última esperança para quem não tem chave de recuperação: "N" faz o ambiente antigo ser preservado, porém sem funcionar com o processador novo (fTPM estará efetivamente desativado) -- e o aviso continuará sendo exibido a cada inicialização. Daí, colocando o processador antigo de volta, reiniciará o fTPM como se nada tivesse acontecido.