百科问答小站 logo   百科问答小站
问题

黑客有可能攻击已经关机的电脑吗(有电源,网线连着)?

回答
即使电脑已经关机(但仍然连接电源和网线),黑客 理论上仍然有可能进行某些形式的攻击,尽管这些攻击的性质和可能性远不如电脑运行时那样广泛和直接。理解这一点,我们需要区分“攻击”的定义以及电脑在关机状态下仍然拥有的某些“活性”。

以下将详细阐述,并区分不同情况:

1. 什么是“攻击”?

首先,我们要明确“攻击”的含义。在网络安全领域,“攻击”通常指:

未经授权的访问: 获得对系统或数据的控制权。
数据泄露或篡改: 获取敏感信息或修改现有数据。
拒绝服务: 使系统无法正常运行。
恶意代码注入: 在系统中植入病毒、木马或其他恶意程序。
信息收集/侦察: 了解目标系统的网络配置、硬件信息等,为后续攻击做准备。

2. 关机电脑的“活性”分析

当一台电脑“关机”但连接着电源和网线时,其状态并非完全“死寂”。它仍然具备以下一些潜在的“活性”:

电源管理事件: 电源单元(PSU)仍然处于待机状态,可以响应特定的电力信号。
网络接口卡 (NIC) 的某些功能: 即使操作系统未运行,网卡本身可能还具备一些低功耗的响应能力,例如:
WakeonLAN (WoL): 这是最直接的,也最有可能被利用的机制。
PXE (Preboot Execution Environment): 用于网络引导,但通常需要 BIOS/UEFI 的支持和配置。
某些特定的网络芯片级漏洞: 即使操作系统未启动,网卡芯片本身的固件或硬件也可能存在可以被利用的漏洞。
主板上的其他组件: 某些主板上的管理控制器(如 BMC Baseboard Management Controller,尤其是在服务器上)可以独立于主 CPU 工作,并具备网络接口。
BIOS/UEFI: 固件本身可能包含可被利用的漏洞,或者可以被配置成响应某些网络信号。
物理连接的设备: 如 USB 设备(虽然不太可能在关机状态下被直接攻击,但其固件也可能存在漏洞)。

3. 黑客可能进行的攻击类型(以及可能性)

基于上述关机电脑的“活性”,黑客可能尝试的攻击类型包括:

a) 最有可能的攻击:通过 WakeonLAN (WoL) 唤醒并进行后续攻击

原理: WoL 允许计算机通过网络发送的特定数据包(Magic Packet)从低功耗状态唤醒。许多主板和网卡支持此功能,并且在 BIOS/UEFI 中通常可以启用。即使电脑关机,网卡仍然接收来自网络的信号,并监听特定的 Magic Packet。当检测到符合条件的 Magic Packet 时,它会通知主板,主板再指示电源单元启动电脑。
攻击流程:
1. 信息收集: 黑客首先需要知道目标电脑的 MAC 地址。这可以通过其他网络扫描工具、窃取网络流量或物理访问获得。
2. 发送 Magic Packet: 黑客发送一个包含目标 MAC 地址的 Magic Packet 到目标电脑所在的网络广播域或直接发送到其 IP 地址(如果知道的话)。
3. 电脑启动: 一旦 Magic Packet 被目标网卡接收并识别,电脑就会启动到操作系统。
4. 后续攻击: 电脑启动后,黑客就可以利用各种成熟的攻击手段,如:
远程代码执行 (RCE)
勒索软件
数据窃取
部署后门
等等。
限制:
WoL 需要在 BIOS/UEFI 中启用。
目标电脑必须连接到网络。
攻击者通常需要与目标电脑在同一局域网内,或者能够访问该局域网的路由设备,以便发送 Magic Packet。

b) 基于网卡芯片级漏洞的攻击(可能性较低,但存在理论可能)

原理: 某些网卡芯片的固件或硬件设计可能存在漏洞,即使在低功耗状态下也能被利用。这可能允许攻击者通过发送精心构造的网络数据包来触发这些漏洞,从而在不完全启动操作系统的情况下执行一些有限的代码,或者改变网卡自身的配置,甚至可能影响到系统启动过程。
攻击类型举例:
信息泄露: 通过漏洞读取网卡缓冲区中的少量数据,其中可能包含系统配置信息。
modifié 网卡固件: 更高级的攻击可能尝试修改网卡固件,但这需要非常深入的硬件和固件知识,并且成功的可能性极低。
影响启动过程: 如果漏洞允许攻击者在启动早期阶段干预,例如修改引导加载程序,理论上也可以实现某种形式的攻击。
限制:
这需要发现并利用非常特定的、鲜为人知的网卡芯片漏洞。
攻击的范围和能力可能非常有限,不一定会导致完整的系统控制。
需要对特定网卡型号有深入研究。

c) 通过其他硬件接口(例如管理控制器 BMC)的攻击(主要针对服务器)

原理: 许多服务器主板配备了独立的管理控制器(BMC),例如 IPMI (Intelligent Platform Management Interface)。BMC 拥有自己的处理器、内存和网络接口,可以独立于主 CPU 和操作系统运行。即使服务器被操作系统标记为“关机”,BMC 仍然可以保持运行和联网状态。
攻击流程:
1. 访问 BMC: 如果 BMC 的管理接口(通常是独立的网口或共享主网口)暴露在网络上,并且存在弱密码或漏洞,黑客就可以直接登录到 BMC。
2. 控制服务器: 通过 BMC,黑客可以执行几乎任何操作,包括:
远程控制电源(启动、关闭、重启)。
挂载虚拟媒体(如 ISO 镜像),从而实现远程安装恶意操作系统。
访问硬件日志和传感器数据。
修改 BIOS/UEFI 设置。
甚至可能通过 BMC 的管理接口向系统注入恶意代码。
限制:
通常仅限于配备 BMC 的服务器或高端工作站。
BMC 的管理接口需要能够被访问到,并且存在安全漏洞。

d) 利用物理连接和硬件后门(非远程)

原理: 如果黑客能够物理接触到电脑,即使电脑关机,他们也可以:
安装硬件植入物: 例如,在网卡或主板上安装小型硬件设备,这些设备可以在电脑启动时或通过特定外部信号激活,然后进行网络通信或数据窃取。
修改 BIOS/UEFI: 通过物理访问启动进入 BIOS/UEFI 设置,进行修改(虽然这通常需要用户输入密码)。
限制:
这并非远程攻击,而是需要物理接触。

4. 如何防范?

禁用 WakeonLAN (WoL): 在电脑的 BIOS/UEFI 设置中找到并禁用 WoL 功能。这是最有效的防止通过 WoL 远程唤醒电脑的方法。
隔离不使用的网络端口: 如果电脑不需要联网,物理断开网线。
安全管理 BMC/IPMI: 对于服务器或工作站,确保 BMC 的管理接口得到妥善的安全配置,包括强密码、访问控制列表和定期更新固件。
物理安全: 防止未经授权的物理访问是基础。
固件更新: 保持网卡、主板和 BIOS/UEFI 的固件更新到最新版本,以修补已知的安全漏洞。
网络隔离: 将关键的关机设备隔离在安全的网络段,限制其与不受信任的网络之间的连接。
关闭不必要的服务: 虽然在关机状态下操作系统服务不运行,但在某些低功耗状态下,某些硬件服务可能仍在后台监听。

总结

总而言之,一台连接电源和网线的关机电脑并非完全免疫于攻击。最常见的潜在攻击向量是通过 WakeonLAN (WoL) 功能,这需要目标电脑在该功能上启用,并且攻击者能够发送特定的网络数据包。对于服务器而言,管理控制器 (BMC) 也是一个重要的潜在攻击点。此外,理论上也存在利用 网卡芯片级漏洞 的可能性,但这类攻击的难度和普遍性都非常低。

因此,虽然关机状态能极大地降低风险,但为了绝对的安全,禁用 WoL 并做好物理和网络层面的防护是至关重要的。

网友意见

user avatar

计算机电源「完全切断」时(比如PC电脑插头没插电,或者笔记本电脑电池被拆了)那黑客绝对没办法对你的电脑做任何事---重要的事说三遍,绝对不可能!绝对不可能!

对于已经关机,但是仍然插着电的电脑,黑客有机会控制主板/或者CPU里的微型CPU运行一些非常缓慢的程序,不过这仍然需要提前烧入程序(通常是嵌入式代码),这个要求对黑客技术要求非常高,也需要漏洞支持(在计算机发展早期事有的)。

对于已经关机,但是仍然插着电,并插着网线的电脑,黑客确实可以通过网络控制,不过有一些严格的前提。流程上倒是只需要两步:首先开机(大雾),然后获得主机控制权限,你的电脑就没了(此处需要狗头)。


1.黑客如何入侵已关机电脑?以及怎么防范?


必备条件 :

目标网卡需要支持远程唤起[1],即利用网卡配合其他软硬件,通过给处于待机状态的网卡发送数据帧,实现电脑停机启动。

这里需要详细解释一下,远程唤起(Wake-on-LAN)虽然可以用于黑客入侵,但是它本质上并非漏洞,只是一种网络协议。如果黑客利用这类协议入侵,算是一种「阳谋」,基本上近10年的主板都支持Wake-on-LAN功能。其具体原理是通过在网络广播特定结构的广播帧(又被称为魔法数据包,Magic Packet)来唤醒已知MAC地址的电脑。

如果黑客需要远程唤起一台关机的电脑,那么必须已知对方MAC地址(这并不算太难,可以通过网络分析或者遍历局域网内部MAC地址得到),且必须通过路由器进入子网网段,才能够在该网段广播相关Magic Packet。另一方面,如果目标机器的远程唤起功能存在密码,那么在试图远程唤起之前,破译个人电脑的相关密码也是必须的。

如果没有更多软件层面协助,Magic Packet广播帧并不能进一步接入从而获取电脑账户控制权限。远程唤起拥有相对严格风险安全保护机制(1.MAC地址已知,2.唤起密码,3.本级账号密码),尚属风险可控范围。如果各位非常担心这类风险发生,不论是主板bios,还是网卡,抑或操作系统,都提供了相关选项禁用远程唤醒功能。

  1. 主板bios:在PCI2.1标准以及之前,支持远程唤起的主板通常会有一个专门的3芯插座,保证在关机的情况下网卡供电。现在的网卡基本上不需要额外的电源插槽,在大多主板设置里,都有类似「Wake on LAN」,「Power on LAN」,「Wake on PCI Card」,「Power on PCI Card」等设置选项。

2. 网卡要求:网卡通常需要支持Wake-on-LAN标准,标准检查是,先关机,然后检查网卡上的绿灯,如果绿灯亮则表示支持远程唤醒功能。

3. 操作系统要求:在控制面板->系统和安全->管理工具->计算机管理->设备管理器里找到网卡选项,双击网卡名称->电源管理。 会发现选项“允许计算机关闭此设备以节约电源”,“只允许魔幻数据包唤醒计算机”和“允许此设备唤醒计算机”,把这些勾选去掉,就没人可以远程唤醒你的电脑了。

2. Wake-On-LAN的正确使用方式—远程集群管理


很多人估计会奇怪,为什么远程唤醒存在隐患,但是我们依然保留,而且越来越多的硬件设备开始支持这一功能。事实上,Wake-on-LAN给自动化远程电脑管理(特别是大型数据中心或服务器集群)带来的便利要远远大于风险。特别是在目前,因为疫情远程办公大行其道,以及随着物联网越来越发达,越来越多的公司希望能够远程管理/维护办公电脑/物联网设备,这更给远程唤起协议带来了大量的市场和商业空间。

举个例子,如果你希望远程操作电脑,那么必须通过软件接入,获取电脑权限。比较典型的远程控制软件比如Teamviewer,向日葵等等,或者微软自己的Microsoft Remote Destop 10,linux 的SSH也可以直接完成这部分功能。

但是,正如很多同学会想到的,这类远程控制软件无法在关机的状态下操作电脑,这个问题在电脑集群,或者公司级运维的时候会带来相当大的麻烦---当一台电脑down机且断开电源,你总是需要有那么个人去「物理」开机,然后控制相应软件。也正因为此,这类远程控制方案被称为带内管理(In-Band Network Access,IBN),也并不适合现在疫情导致的大规模远程办公环境(员工借口电脑坏了,还人为需要上门检修;或者办公室内被远程的电脑坏了,需要人跑进办公室才能维护;抑或在一些难以到达的环境里,比如离地几十米高的液晶屏幕)。

通过远程唤起获得的电脑管理方案,被称作带外管理(Out-of-band management,OOB)[2],即创造一个独立的物理管理通道,允许系统管理员远程监控和管理服务器,路由器,交换机等等设备。而这类方案的好处是,可以完全远程进行电脑运维,可以节省人力成本同时提供效率,因而特别适合公司集群管理办公电脑

这种带外管理,对比那些需要使用额外命令行的方案来说,一个比较简单直接的启用方式是直接使用英特尔主动管理技术(AMT),搭配英特尔vPro平台(注:i5及以上处理器支持vPro平台) [3]

vPro[4]并非单一技术,我更愿意把它当作以英特尔主动管理技术为核心,纵跨软硬件的解决方案平台,包括比如虚拟化技术(用于支持虚拟键盘输入),vPro嵌入软件平台部分以及支持虚拟化的Intel CPU,可以支持AMT技术的芯片组集成网卡等,它启用所有优化方案的最终的目的,是让管理员通过带外管理维护相应设备。

对于支持vPro技术的电脑,在BIOS里会有一个叫做AMT的设置菜单,用于关闭AMT功能,所以如果希望自己的电脑能够被远程唤醒,那么需要在BIOS里开启AMT,并且(可能)需要在Management Engine[5]设置菜单设置AMT选项。此后,需要进行软件层面的设置。下图分别提供了早期和近代两种版本的终端管理页面样例。

对于启动vPro的企业电脑,在终端管理助手(Endpoint Management Assistant)平台,会发现自己的电脑自动加入企业的vPro群组。在左侧EndPoints标签,可以看到所有使用同一用户名和密码登录的电脑的使用情况,包括名称,链接,版本等(上图1)。也可以通过批量操作选中电脑,完成比如唤醒,睡眠,关机等等操作(上图2)。在近期的一些版本中,点开电脑也可以看到电脑的相应配置,以及电脑当前状态(上图3)。当然,也可以非常方便的完成远程桌面显示。

上述功能其实都可以通过传统的远程管理实现,但是对于带外管理功能,Intel AMT可以提供更多操作空间,比如在管理界面中控制开机启动,进入镜像(上左图),或者通过AMT和vPro进入主板,进行BIOS设置(上右图)。这大幅度方便了企业级电脑维护,或者远程主板调整。

因此,全新英特尔vPro平台搭载第十一代英特尔酷睿vPro处理器,能为终端计算设备带来商务级性能,硬件级防护,使其具备包括带外远程管理在内的现代管理性。面向企业级用户,极大简化IT管理,提升团队效率。所以可以遇见的一种可能是,以后IT管理维护或许再也不用真身上门,可以通过英特尔vPro平台完成,某种程度上,这对系统维护领域,以及相关市场来说是一种变革

但问题在于,作为一种企业控制软件,Intel的Endpoint Management Assistant软件对于普通用户并不友好,目前比较的个人vPro启用方式是采用Open MDTK(Manageability Developer Tool Kit),并手动配置相关IP选项,然后再在远程,通过密钥访问需要被管理或者唤醒的设备。

这对于个人用户来说并不方便

3. 软件硬件合作进一步提升远程安全和远程电脑管理效率

如果从软件功能划分,与其说Endpoint Management Assistant是一个软件,倒不如说它是一个介于硬件驱动和用户服务之间的软件平台,换而言之,它对普通用户使用习惯思考并不充分,因而很少用户会主动体验。

如果希望增强用户体验,那么通常需要比较成熟的上层应用管理软件,在这种情况下,作为一家面对个人和企业用户的软件工具服务提供商,vPro和鲁大师的合作自然水到渠成[6]。「鲁大师」和「鲁大师Pro」可以提供个人用户资产的统一管理,这也为用户远程控制,唤醒和管理自己的平台提供了软件基础,一些简单的扩展就可以启用vPro功能,完成更加深度的唤醒和运维。

此外,对于采用鲁大师作为企业电脑运维解决方案的行业来说,vPro同样提供了更强有力的运维方案,企业IT人员可以对公司在任何地方的任意一台vPro电脑进行管理,远程实现开关机,设置 BIOS、通过镜像安装操作系统等一系列远程支持和管理工作,可以在基于PC的设备断电或操作系统无响应时访问相关设备,实现足不出户完成有效维护。

这个结合平台被他们称作「Super Pro」解决方案,被在「后疫情时代」的办公场所寄予厚望。根据目前的调查结果显示,在后疫情时代,远程办公和在办公室办公已经成为各行各业的新常态,而且前段时间还有新闻显示,随着远程办公越来越多,薪资水平也随着办公地点逐渐调整,目前大约有91%的用户表示已经开展了远程办公,而54%的用户表示,企业的IT技术结构已经成为他们当前远程办公的最大障碍之一。

这里比较关键的问题,除了协作软件以外,或许就是对企业配置电脑终端的远程管理和统一运维,远程运维方案的完善,不仅仅可以增加办公设备的正常运行时间,减少更新终端,也可以帮助企业IT人员远程支持(可能存在于)全国各地的员工和设备,这大大减少了公司的运行成本;而随着远程运维系统的进一步发展,它也有可能帮助个人电脑连接到维修公司,提升效率,完成更大的变革。

当然,便捷的远程操纵方案往往需要非常严格的安全保护系统,才能阻挡黑客攻击,所以相信「黑客远程操纵关机电脑」,这个话题会是下一个比较严重的问题,吸引更多人注意。

参考

  1. ^ 百度百科, "远程唤醒," Sep. 2021. [Online].
  2. ^ Perle, "Out-of-Band Management: What is it and why do I need it?," [Online].
  3. ^ I. VPro, "百度百科词条," [Online].
  4. ^ Intel, "英特尔® 博锐®平台概述," [Online].
  5. ^ Intel, "Intel vPro® Platform Delivers Endpoint Management Solutions," [Online].
  6. ^ 财新网, "特别呈现|英特尔vPro:IT管理“黑科技”赋能未来办公," [Online].
user avatar

不排除美国国家安全局有工具可以入侵这样的电脑。拔掉电源也不是百分百安全。如果有必要,他们可以派特工去开机. 特工不一定是电影中那种飞檐走壁的人,而更可能是你身边的同事。

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有

服务条款
联系我们
关于我们
隐私政策
友情链接
知乎
百度问答
搜狐
新浪