来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe

https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件，虽然用途是合法的，但是其使用明文和服务器通信，而且能干的事情很多，随时可能被劫持。
BIOS在启动时，如果满足某个条件（如BIOS中开启了Computrace功能）等，就会启动Computrace的Option ROM，它会自动识别硬盘中的FAT/FAT32/NTFS文件系统，查找Windows的Autochk.exe，将其修改加入自己的安装程序；在Windows启动的时候，修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
rpcnetp.exe在系统中运行时，会将自己的副本rpcnetp.dll注入到IE的进程中，并试图与其开发商进行通信。但是这时候问题就来了：由于Computrace的本体位于BIOS中，它不是那么容易被升级的。因此其通信协议设计得比较复杂，而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作，但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问，就完全可以利用它来执行任意代码。而且正因为其不能被升级，只要用户仍在有意或无意地使用Computrace，这个漏洞将永久存在于用户的机器上。
虽然其开发者明确提出这个东西不会默认开启，但确实有一些机器默认开启了它，而且用户误将其开启后，就非常难以关闭甚至不可能关闭。很多情况下，它位于BIOS中不会被刷写工具刷写的偏移处，因此就算是刷新BIOS，也不能将其移除。
国内似乎有一些笔记本论坛上早已有人注意到此话题，但没有人能提出能根本解决此问题的方案。