Windows Platform Binary Table (WPBT) — неодолимая Crapware? Обзор и описание технологии

01-windows-platform-binary-table-wpbt-neodolimaya-crapware-obzor-i-opisanie-texnologii

Некоторые пользователи заметили, что Microsoft добавила в Windows 8 новую функцию, которая позволяет производителям заражать прошивку UEFI crapware. Windows продолжит установку предустановленного ПО производителя, даже при условии чистой установки Windows.

Эта функция продолжила развитие и была представлена в Windows 10, таким образом Microsoft дала в руки производителей ПК мощный инструмент. Теперь желание собирать компьютер самому еще более подстегивается желанием избавиться от предустановленного мусорного ПО.

WPBT 101

Начиная с Windows 8, производитель ПК может включать в прошивку UEFI исполняемое приложение *.exe Windows. Приложение хранится в секции «Windows Platform Binary Table» (WPBT) секции UEFI. При загрузке Windows ищет в этой секции прошивки приложение поставщика компьютера, копирует его на системный диск и запускает его. В самой Windows нет механизмов и инструментов для отключения этой функции. Приложение поставщика будет выполнено без вопросов.

Lenovo LSE и дыры в безопасности

Нельзя написать о WPBT не упомянув о истории с Lenovo, которая поставляет различные ПК со встроенной «Lenovo Service Engine» (LSE). Полный список ПК с вшитой LSE доступен по ссылке.

Когда программа автоматически запускается в Windows 8, Lenovo Service Engine загружает программу OneKey Optimizer и отправляет некоторое количество данных обратно в Lenovo. Lenovo устанавливает в систему Windows сервис, разработанный для загрузки и обновления ПО из Интернет, делая невозможным его удаление.

Lenovo пошло далее, достав своим crapware и Windows 7. Прошивка UEFI проверяет файл C:\\Windows\\system32\\autochk.exe и перезаписывает его собственной версией от Lenovo. Эта программа запускается при загрузке системы для проверки файловой системы в Windows, этот трюк позволяет Lenovo запустить свое ПО в Windows без участия конечного пользователя. Это демонстрирует несовершенство системы WPBT — производители ПК не должны модифицировать системные файлы Windows.

Microsoft и Lenovo открыли серьезную дыру в системе безопасности, которая может использоваться злоумышленниками для получения несанкционированного доступа к компьютеру. Поэтому Lenovo прекратило поставки новых ПК с Lenovo Service Engine и выпустило обновления, позволяющие отключать автоматическое исполнение кода UEFI.

02-windows-platform-binary-table-wpbt-neodolimaya-crapware-obzor-i-opisanie-texnologii

Как проверить свой компьютер на наличие WPTB-программ?

Если на ПК используется WPBT, Windows считывает бинарные данные из UEFI в файл wpbbin.exe в автозагрузку системы.

Вы можете проверить свой собственный ПК на наличие такого исполняемого файла wpbbin.exe. Искать его нужно в папке C:\\Windows\\system32\\, этот файл будет в системе только в том случае, если ваш компьютер использует технологию WPTB. Кстати, совсем не обязательно, что ваш производитель ПК использует эту технологию для автоматического исполнения своего ПО, но такой функционал UEFI включен и нужно об этом знать.

03-windows-platform-binary-table-wpbt-neodolimaya-crapware-obzor-i-opisanie-texnologii

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*
*
Website