联想杀毒plus下载不了软件(联想杀毒plus文件位置)

联想被曝将无法删除的软件捆绑到所销售的笔记本电脑中。如果垃圾软件或硬盘驱动被删除并重新安装Windows,笔记本的固件会在下次重启时重新安
装。这款垃圾软件内置在笔记本主板的固件中,是一个名为“联想服务引擎(LSE)”的代码。如果Windows被安装,LSE就会在微软操作系统启动前执
行。
联想杀毒plus下载不了软件(联想杀毒plus文件位置)

LSE确保C:\Windows\system32\autochk.exe是联想autochk.exe文件的变体;如果微软的官方版本存在,它
就会取而代之。而可执行文件会在启动过程中运行,并且会检查电脑中的文件系统以确保没有损坏。联想这种系统文件的变体确保
LenovoUpdate.exe 以及 LenovoCheck.exe 存在于操作系统的system32
目录中,否则它就会将可执行文件在重启过程中拷贝到该目录。因此如果用户卸载或删除了这些程序,LSE就会在下次开机或重启时找回来。

LenovoCheck
及LenovoUpdate以完整的管理员访问权限在电脑启动时被执行。它们会自动并粗暴地连接至互联网以下载并安装驱动器、一个系统“优化程序”、以及
其它联想想在用户电脑上安装的东西。垃圾软件还会把运行系统的详细情况回传给联想。LSE利用微软的Windows
平台的二进制表(WPBT)功能从主板固件将驱动器、程序以及其他文件注入Windows操作系统中。存储在固件中的WPBT会告知Windows在内存
的哪个位置找到名为平台二进制的可执行文件并运行。而这个可执行文件会在操作系统开启前完成文件安装的工作。

Windows在文档中指出,在操作系统初始化时,Windows会读取WPBT获取平台二进制的物理内存位置。这个二进制必须是原始且用户模式的
应用程序,它可在操作系统初始化时由Windows Session Manager执行。Windows会将平面图像写入磁盘,而Session
Manager会启动进程。该文档特别强调,“WPBT的目的是允许重要软件即使在操作系统被改变或以‘清洁’配置重新安装的情况下也可以持续存在……由
于这个功能可持续在Windows语境中执行系统软件,因此确保基于WPBT的解决方案尽可能安全并且不会将Windows用户暴露于可利用的情境中至关
重要。

“尽可能安全”的要求在联想案例中并非如此。安全研究人员Roel Schouwenberg在LSE中发现并上报了一个可被利用的缓冲溢出,它可攻陷低级别的软件以获取管理员级别的权限。

联想获悉该漏洞后认为LSE被微软关于使用强大的WPBT功能安全指南所误导,并表示新笔记本电脑中将不会出现LSE软件。此外,联想还删除了存在于台式机中的LSE软件。台式机上的LSE软件似乎会传给主机系统数据但不会下载并安装多余的软件。

7月31日悄悄发布的一款工具将会卸载出现在电脑中的LSE。受影响的台式机及笔记本电脑型号完整清单请见此处。所有受影响的机器都安装了Win 7或Win 8.x。Think品牌系列的电脑并不包含LSE。

联想解释称,“LSE是BIOS中的一款工具,用来帮助用户下载某些联想笔记本系统的OneKey
Optimizer程序。这款工具还会将非私人识别系统数据发送到联想服务器中。联想、微软以及一名独立研究员已发现这款程序能够被攻击者所利用,其中包
括缓冲溢出攻击以及试图连接至一台联想测试服务器的行为。联想还表示LSE与微软发布的WPBT指南不一致,并建议用户禁用此功能,方法是运行科金庸
LSE的禁用程序并从系统中删除LSE文件。此外,联想已在新机器的系统中删除了LSE功能。

此前联想曾因“快鱼”丑闻为人诟病:公司曾在笔记本电脑中捆绑了广告软件导致用户易受中间人窃听攻击。

微软尚未回应此事。

发表评论

登录后才能评论