安装好的CPU是否意味着整个计算机的“游戏结束”？

Question

我在找关于这个问题的答案。

想象一下，在工厂上安装的CPU就像蓝丸一样，但是对于网络的互连来说。

操作系统的防火墙如何才能保护站免受硬件木马的相互通信？

iptables阻止任何新的传入数据包。iptables -A INPUT -p tcp -m state --state NEW -s 0.0.0.0/0 -j DROP

以太网包与message A交换CPU进入远程可控模式。这样，任何带有秘密前缀的下一个message X都会被接受，就像低级语言(汇编程序)上的一个控制命令一样。

低层传入包是否通过整个电路到CPU进行决策丢弃/接受？

例如Internet -> Ethernet(PCI) -> North Bridge(Chip) -> CPU

在将整个包标记为NEW和DROP之前，CPU会读取整个包吗？

我的意思是，message A将填充CPU的寄存器并将其切换到恶意模式。

在我的场景中，HTH注入到CPU中，就像这样的一。

编辑。我想澄清一下。操作系统是否可以在安装有漏洞的CPU上使用恶意控制数据包(以太网)制作什么？

Answer 1

你的问题不太清楚。

如果您的意思是主CPU包括一些后门窃听，那么在原则上，所有的赌注都输掉了。无论操作系统可能包括什么保护，CPU都不能执行它们(而是假装执行)。在实践中，如果识别出这样一个后门，可能有一种方法可以绕过它，因为CPU是一成不变的，不能发展，而软件可以在设计时考虑CPU后门。

如果您的意思是以太网控制器的处理器包含一个间谍，那么间谍将看到所有传入的数据包。在操作系统中丢弃数据包是没有用的，因为以太网控制器在主CPU - its任务将它们发送到主CPU之前看到了数据包。间谍无法解码加密的通信，因为这些通信是由CPU解密的。

然而，以太网控制器中的恶意软件可以做更有趣的事情，而不仅仅是监听网络流量。以太网控制器通常可以访问内部总线(如PCI )，这样就可以将数据传输到内存中，因此在大多数体系结构上，它都可以读取计算机的RAM。

在野外已经有了有问题的以太网控制器。例如，出现了不正确的实现 of 唤醒局域网。在这种特殊情况下，只有当机器插入网络并关闭时，它才容易受到攻击。攻击者通常需要在本地网络上，因为大多数防火墙都会过滤这些数据包。

Answer 2

是的，这是肯定的。

实际的Blue安装的工作原理通常是控制网络接口，这样数据包就可以被用来提供后门和/或电话家园。魔术包可以被发送到后门与一个有效载荷，以执行外壳。当虚拟机管理程序接收到数据包时，这些数据包被设计成由修改的调试异常处理程序来查看。

因为它在虚拟机管理程序的网络堆栈中运行在一个非常低的级别，所以虚拟化的OS从来没有看到后门。

通过分析接收网络数据包的时间，可以确定是否存在这样的后门，但是您必须使用外部的“已知-良好”系统来检查这一点。

这个PDF详细介绍了可能用虚拟化操作系统实现的后门，目的是防止操作系统知道它正在被虚拟化。

http://www.invisiblethingslab.com/resources/bh08/part1.pdf