Почему вообще возможно перезаписать загрузочный сектор

1079
Thomas

Почему в Windows можно так просто перезаписать загрузочный сектор? У меня просто была небольшая ошибка в коде, связанная с записью на сырой физический диск, и я испортил арифметику и закончил обнулением загрузочного сектора (неудача новичка, я признаю). Легко исправляется, хотя. Но не должна ли ОС выдавать какое-то предупреждение, когда какая-то случайная программа пытается записать данные в загрузочный сектор (который, возможно, является самым важным разделом данных жесткого диска, поскольку без него жесткий диск не распознается)?

Мой антивирус даже не подхватил мою программу, я содрогнулся при мысли, что вирус только что появился и невинно перезаписывает мой загрузочный сектор. Я имею в виду, конечно, что такого рода вещи квалифицируются как «потенциально вредные», верно?

Это не имеет большого значения, но я был удивлен, увидев, что это даже возможно. Есть ли способы заставить Windows ограничить доступ к загрузочному сектору, чтобы я (или другая более вредоносная программа) не мог снова облажаться?

1
Это был администратор? Потому что я бы еще больше волновался, если бы мог сделать это без возвышения. Bob 12 лет назад 0
Да, он работал с правами администратора (слава богу). Thomas 12 лет назад 0
Ну, почему это не должно быть возможно? Потому что люди, которые разрабатывают низкоуровневое программное обеспечение и используют его с повышенными привилегиями без надлежащих мер безопасности, сжигаются? Не отличается от `rm -rf` в Linux или ряда других опасных команд. Daniel Beck 12 лет назад 4
@DanielBeck За исключением того, что в Vista важные системные файлы по умолчанию предоставляют доступ на запись только в `TrustedInstaller`. Конечно, можно вступить во владение, но стандартная учетная запись «Администратор» не может изменять их, в отличие от «root» Linux. Фактически, `system`, эквивалентный` root` с точки зрения разрешений, не имеет доступа на запись. Если возможно изменить системные файлы / двоичные файлы с обычным повышением прав (конечно, нужно как-то прочитать файловую систему NTFS), то это можно рассматривать как недостаток безопасности ... Bob 12 лет назад 1
Вредоносное ПО теперь выполняет запись в загрузочный сектор и является очень популярным способом сделать заражение постоянным даже после успешного удаления из ОС. Оно переустанавливает себя при каждой загрузке, выполняя код, хранящийся в загрузочном секторе, задолго до загрузки Windows, некоторые продвинутые. Вредоносная программа на самом деле хранит дополнительный код во втором К жесткого диска, который в настоящее время не используется кем-либо еще и не известен большинству. Как это происходит без пометки в окнах, постоянно меняется. Moab 12 лет назад 0
Жесткий диск может быть распознан без загрузочного сектора. Но ОС не будет Alex 12 лет назад 0

1 ответ на вопрос

6

Почему это было возможно?

  • Программное обеспечение работало с правами администратора

Почему AV не принимал мою программу?

  • Возможно, ваш AV не поддерживает обнаружение на основе поведения.
  • Ваш AV предполагал, что это не компьютерный вирус, потому что они хотят распространять себя, а не мгновенно убивать Windows. Это было бы небрежно, потому что:
  • Вредоносное ПО теперь выполняет запись в загрузочный сектор и является очень популярным способом сделать заражение постоянным даже после успешного удаления из ОС. Оно переустанавливает себя при каждой загрузке, выполняя код, хранящийся в загрузочном секторе, задолго до загрузки Windows, некоторые продвинутые. Вредоносная программа на самом деле хранит дополнительный код во втором К жесткого диска, который в настоящее время не используется кем-либо еще и не известен большинству. Как это происходит без пометки в окнах, постоянно меняется. - Моав

Разве ОС не должна выдавать какое-то предупреждение, когда какая-то случайная программа пытается написать в загрузочном секторе?

  • Да, это должно. С большим всплывающим окном в стиле UAC.
  • Начиная с Vista, важные системные файлы по умолчанию предоставляют доступ на запись только в TrustedInstaller. Конечно, можно вступить во владение, но стандартная учетная запись администратора не может изменить их, в отличие от корня Linux. На самом деле система, эквивалентная root с точки зрения разрешений, не имеет доступа на запись. Если возможно изменить системные файлы / двоичные файлы с обычным повышением прав (конечно, нужно как-то прочитать файловую систему NTFS), то это можно рассматривать как недостаток безопасности ... - Боб
Добавьте к этому, в разных версиях BIOS предусмотрена защита загрузочного сектора, но для этого необходимо принять решение о покупке, а затем фактически включить его. Fiasco Labs 12 лет назад 1

Похожие вопросы