I malware possono sopravvivere senza essere nel firmware agganciando le chiamate di accesso al disco del sistema operativo e impedendo a qualsiasi cosa di cancellarli all'interno del sistema operativo compromesso.
Se dovessi eseguire il boot su un SO pulito o cancellare il disco rigido rimuovendolo dal sistema esistente (e sapevi che il malware non risiedeva nel firmware), probabilmente potresti cancellarlo con successo, ma ci sono dei caveat :
Sai che il disco rigido non è compromesso?
Il disco rigido potrebbe teoricamente essere progettato con un altro chip che memorizza una copia del malware e lo riscrive dopo una cancellazione efficace. Un'altra preoccupazione potrebbe essere la presenza di malware nascosto in un diverso componente hardware all'interno del sistema (tramite l'infezione del firmware o l'impianto hardware), evitando in tal modo qualsiasi tentativo di cancellarlo pulendo o sostituendo un disco rigido.
Il processo sopra menzionato di usare un CD live è potenzialmente pieno di potenziali pericoli. Ti fidi del BIOS? E la catena di avvio? I moderni SO utilizzano spesso un sistema di avvio denominato UEFI, controllato almeno parzialmente dai dati che risiedono sull'unità. Sebbene esistano dei controlli per tentare di impedire la manomissione non autorizzata del processo di avvio, è possibile che il malware si inietti nella catena di avvio. Ancora più a basso contenuto tecnologico, il malware è in esecuzione su un dispositivo USB o in un luogo per emulare un dispositivo USB, se la priorità di avvio consente l'avvio da dispositivi USB prima del disco rigido. Ancora una volta, il malware potrebbe caricarsi e iniettarsi nei successivi processi di avvio, anche passando in modo trasparente l'avvio al sistema operativo "normale" dopo averlo collegato. Se hai mai rotto un'installazione di Linux grub, potresti avere esperienza di avvio sulla shell di grub tramite un CD live o USB, quindi manualmente digitando il codice per eseguire l'esecuzione manuale sull'installazione Linux sul disco rigido, che è simile al il malware di processo potrebbe impiegare.