Почему это было возможно?
- Программное обеспечение работало с правами администратора
Почему AV не принимал мою программу?
- Возможно, ваш AV не поддерживает обнаружение на основе поведения.
- Ваш AV предполагал, что это не компьютерный вирус, потому что они хотят распространять себя, а не мгновенно убивать Windows. Это было бы небрежно, потому что:
- Вредоносное ПО теперь выполняет запись в загрузочный сектор и является очень популярным способом сделать заражение постоянным даже после успешного удаления из ОС. Оно переустанавливает себя при каждой загрузке, выполняя код, хранящийся в загрузочном секторе, задолго до загрузки Windows, некоторые продвинутые. Вредоносная программа на самом деле хранит дополнительный код во втором К жесткого диска, который в настоящее время не используется кем-либо еще и не известен большинству. Как это происходит без пометки в окнах, постоянно меняется. - Моав
Разве ОС не должна выдавать какое-то предупреждение, когда какая-то случайная программа пытается написать в загрузочном секторе?
- Да, это должно. С большим всплывающим окном в стиле UAC.
- Начиная с Vista, важные системные файлы по умолчанию предоставляют доступ на запись только в TrustedInstaller. Конечно, можно вступить во владение, но стандартная учетная запись администратора не может изменить их, в отличие от корня Linux. На самом деле система, эквивалентная root с точки зрения разрешений, не имеет доступа на запись. Если возможно изменить системные файлы / двоичные файлы с обычным повышением прав (конечно, нужно как-то прочитать файловую систему NTFS), то это можно рассматривать как недостаток безопасности ... - Боб