Infecteren Boot Sectoren


  Share  
|

Om het doel van een boot sector te begrijpen en de redenen waarom een virus zou willen om het te infecteren, laten we nagaan welke de voornaamste stappen die betrokken zijn bij het laden van een besturingssysteem van de harde schijf. Hoe werkt de computer weet welke programma's te starten tijdens het opstarten de tijd? Immers, de bestanden die moeten worden uitgevoerd om Windows XP te starten afwijken van de bestanden die lancering Linux of die initialiseren Solaris of Windows 98. Bovendien, afhankelijk van de lay-out van de schijf, kunnen deze programma's worden opgeslagen op verschillende locaties op de schijf. Om ruimte verschillende besturingssystemen en schijf configuraties, PC's vertrouwen op specifieke gebieden schijf genaamd boot sectoren aan de machine gids door de boot-up sequence.

Wanneer u op een pc, voert het eerst een set van instructies die initialiseren van de hardware en laat het systeem op te starten. De code die deze acties uitvoert is onderdeel van het BIOS-programma dat wordt in chips van de machine ingesloten door de fabrikant. De BIOS zelf is gemaakt om zo algemeen mogelijk zijn, en niet weet hoe u een bepaald besturingssysteem te laden. Op die manier kan een machine met slechts een BIOS gebruikt worden voor verschillende besturingssystemen. Omdat het BIOS niet weet hoe het besturingssysteem te laden, plaatst het de eerste sector op de eerste harde schijf, en voert een klein programma opgeslagen riep de master boot record (MBR). Soms mensen verwijzen naar de fysieke sector op de schijf die winkels MBR-gegevens als de master boot sector.

De MBR weet niet hoe het besturingssysteem niet. Dit is omdat de pc meerdere partities en besturingssystemen geïnstalleerd, elk met een eigen start-up eisen kan hebben. De code die deel uitmaakt van de MBR weet hoe beschikbare partities opsommen, en hoe de controle over te dragen aan de boot sector van de gewenste partitie. De boot sector geplaatst in het begin van elke partitie is de toepasselijke naam de partitie boot sector (PBS). Andere termen soms gebruikt om te verwijzen naar de PBS zijn het volume boot sector en het volume boot record. Het programma ingebed in de PBS lokaliseert het opstarten van het besturingssysteem bestanden en geeft de controle van de boot-up proces voor hen.

Virussen die gebruik maken van de uitvoerbare aard van het MBR en PBS inhoud en hechten zich aan een van de laars sectoren worden genoemd boot sector virussen. Een pc die besmet zijn met een boot sector virus zal uitvoeren code van het virus, toen de machine boot.

Het Michelangelo virus, ontdekt in 1991, is een typische boot sector virus dat vooral bekend is vanwege de media razernij die omgeven zijn trigger datum in 1992. Laadvermogen van Michelangelo was zeer destructief, het was geprogrammeerd om sectoren van de harde schijf overschrijven als de geïnfecteerde computer opgestart op de verjaardag van de grote Renaissance kunstenaar (6 maart). Ik vraag me af wat Michelangelo zelf zou hebben gedacht over deze "tribute" vijandige geïmplementeerd in software. Hoewel de meeste nieuws-verkooppunten op het moment voorspelde dat miljoenen pc's zouden worden beïnvloed, ergens rond de 10.000 en 20.000 computers werden daadwerkelijk geslagen toen de grote dag kwam. Dit was niet helemaal de ramp dat het publiek verwachtte, maar heel wat mensen op die datum had een zeer slechte dag.

Wanneer Michelangelo een harde schijf besmet, verplaatst de inhoud van de originele MBR naar een andere locatie op de schijf en plaatste zich in de MBR. De volgende keer dat de PC opgestart, zou de BIOS code uitvoeren van Michelangelo, die het virus in het geheugen geladen. Michelangelo zou dan gaan om de controle over de kopie van de originele MBR te gaan met de boot proces, tenzij het is 6 maart, natuurlijk. Op die dag, Michelangelo zou een volledig slang de harde schijf.

Naast de harde schijven kunnen besmetten, Michelangelo ook hechten aan laars sectoren van de diskettes. Zonder deze mogelijkheid zou, puur bootsector-virussen hebben een harde tijd verspreiden van de ene machine naar de andere, omdat ze niet kunnen uitvoerbare bestanden infecteren, en mensen zelden wisselen harde schijven. Een floppy heeft slechts een enkele partitie, en niet over een MBR. In plaats daarvan, wanneer het BIOS van de computer opstart vanaf een floppy disk, lokaliseert het opstarten van de diskette de sector, die op hun beurt het besturingssysteem laadt.

Zodra Michelangelo werd uitgevoerd op een pc, dan zou het automatisch hechten zich aan de boot sector van elke diskette ingevoegd in de computer. Het virus was in staat om dit te doen vanwege zijn vermogen om zich in het geheugen geladen door die verbonden zijn aan low-level drivers en BIOS actief blijven na het besturingssysteem opgestart. Specimens die kan blijven in het RAM van de besmette computer worden genoemd geheugen-ingezeten virussen. Deze eigenschap kan worden toegeschreven aan een virus, ongeacht of haar primaire doel is een boot sector of een uitvoerbaar bestand. Virussen die niet zijn geheugen-ingezetenen worden soms direct-action-virussen zijn schepselen van het moment dat handelen wanneer hun gastheer wordt uitgevoerd en niet blijven hangen niet.

Het goede nieuws is dat de effectiviteit van het geheugen-ingezeten boot sector virus ernstig vermindert in Windows NT en de latere versies van Microsoft Windows (2000, XP en 2003 tot nu toe). Deze besturingssystemen niet langer vertrouwen op de BIOS voor low-level toegang tot lokale schijven. Als gevolg daarvan, zelfs als de pc opstart sector is besmet en het virus laadt zich in het geheugen, zal de code van de virus worden genegeerd wanneer Windows opstart. Het virus wordt geladen, maar niet de kans krijgen om zich te krabbelen op nieuwe diskettes of harde schijven, terwijl het besturingssysteem is onder controle. Dit betekent dat het virus niet kunnen hechten aan nieuwe doelen terwijl Windows wordt uitgevoerd. Aan de andere kant kan het virus nog steeds zijn lading te activeren voordat Windows geladen, dit kan schade, terwijl de pc kwaadaardige instructies uitvoert in de boot sector.

We moeten er rekening mee, echter dat computers die gebruikmaken van Windows NTFS-partitie op het systeem kan crashen als de PBS wordt besmet. Dit is omdat, op NTFS-geformatteerde harde schijven, Windows speciale instructies plaatsen in de sectoren die direct na de PBS die helpen bij het laden van het besturingssysteem. Een virus kan overschrijven deze instructies terwijl verbonden aan het PBS, kan Windows weten hoe om goed te starten, en waardoor de computer crasht.

We hebben gezien de primaire technieken die virussen gebruiken om uitvoerbare bestanden en boot sectoren infecteren, maar die zijn niet de enige mechanismen deze pathogenen in dienst. Beyond executables en boot sectoren, andere populaire doelwitten van computervirussen zijn documentbestanden dat het vermogen om uitvoerbare code dragen hebben.

een artikel afkomstig van Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions