Infizieren Boot-Sektoren


  Share  
|

Um zu verstehen, den Zweck eines Boot-Sektor und die Gründe, warum ein Virus infizieren wollen es, wir untersuchen die wichtigsten Schritte beim Laden ein Betriebssystem von der Festplatte beteiligt sein. Wie funktioniert der Computer wissen, welche Programme beim Systemstart zu starten? Nach allem, um die Dateien, die müssen ausgeführt werden, um Windows XP zu starten unterscheiden sich von den Dateien, die Einführung Linux oder solche, die zu initialisieren Solaris oder Windows 98. Darüber hinaus, abhängig von der Festplatte des Layouts, können diese Programme an verschiedenen Orten auf der Festplatte gespeichert werden. Zur Aufnahme von verschiedenen Betriebssystemen und Konfigurationen Festplatte, setzen PCs auf einem dedizierten Datenträger Bereiche genannt Bootsektoren an der Maschine durch die Boot-Sequenz führen.

Wenn Sie auf einen PC einzuschalten, es führt zunächst eine Reihe von Anweisungen, die Initialisierung der Hardware und damit das System zu booten. Der Code, der diese Aktionen implementiert, ist Teil des BIOS-Programm, das in der Maschine Chips vom Hersteller eingebettet ist. Das BIOS selbst erstellt werden soll so allgemein wie möglich, und nicht weiß, wie ein bestimmtes Betriebssystem zu laden. So BIOS eine Maschine mit nur einer kann für verschiedene Betriebssysteme verwendet werden. Da das BIOS nicht weiß, wie das Betriebssystem zu laden, sucht er der erste Sektor auf der ersten Festplatte und führt ein kleines Programm, dort gespeicherten sogenannten Master Boot Record (MBR). Manchmal beziehen sich auf die physikalische Sektor auf der Festplatte zum Speichern von Daten wie der MBR Master Boot Sektor.

Der MBR nicht wissen, wie man das Betriebssystem entweder zu laden. Dies liegt daran, den PC mehrere Partitionen und Betriebssysteme installiert, jede mit ihrer eigenen Start-up-Anforderungen haben können. Der Code, der Teil des MBR ist weiß, wie man die verfügbaren Partitionen und wie aufzuzählen, die Kontrolle an den Bootsektor der gewünschten Partition übertragen. Der Boot-Sektor am Anfang jeder Partition plaziert ist entsprechend den Bootsektor der Partition (PBS) genannt. Andere Begriffe manchmal verwendet, um den PBS beziehen, sind die Volumen-Boot-Sektor und die Lautstärke-Boot-Record. Das Programm in das PBS eingebettet sucht das Betriebssystem die Startdateien und übergibt die Steuerung des Boot-Vorgangs zu ihnen.

Viren, die die Vorteile der ausführbaren Natur der MBR und PBS Inhalte und heften sich an einem der Boot-Sektoren werden als Bootsektor-Viren. Ein PC mit einem Bootsektor-Virus infiziert der Virus-Code, wenn die Maschine bootet auszuführen.

Das Michelangelo-Virus, im Jahr 1991 entdeckt, ist ein typisches Boot-Sektor-Virus, auch vor allem wegen der Medienrummel, der um seine Trigger Datum im Jahre 1992 bekannt ist. Michelangelos Nutzlast war sehr destruktiv, es war so programmiert, dass Sektoren der Festplatte überschrieben werden, wenn auf dem infizierten Computer auf dem Geburtstag des großen Renaissance-Künstler (6. März) gestartet. Ich frage mich, was Michelangelo selbst würde über diese "Hommage" in der feindlichen Software implementiert gedacht haben. Obwohl die meisten Nachrichten-Verkaufsstellen zur Zeit vorausgesagt, dass Millionen von PCs betroffen wären, werden irgendwo um 10.000 und 20.000 Computer wurden tatsächlich geschlagen, als der große Tag gekommen. Das war nicht ganz der Katastrophe, die die Öffentlichkeit erwartet hatte, aber ziemlich viele Leute zu diesem Zeitpunkt hatte einen sehr schlechten Tag.

Als Michelangelo eine Festplatte angesteckt, zog er den Inhalt des ursprünglichen MBR an einen anderen Speicherort auf der Festplatte und setzte sich in den MBR. Das nächste Mal den PC gestartet wird, das BIOS würde Michelangelos Code, die das Virus in den Speicher laden würde auszuführen. Michelangelo würde dann passieren die Kontrolle über die Kopie des ursprünglichen MBR mit dem Boot-Prozess fortsetzen, es sei denn, 6. März, war natürlich. An diesem Tag, Michelangelo würde völlig Schlauch der Festplatte.

Zusätzlich zu infizieren Festplatten, konnte Michelangelo auch Bootsektoren von Disketten anbringen. Ohne diese Fähigkeit wäre reine Bootsektorviren haben eine harte Zeit Ausbreitung von einer Maschine zur anderen, weil sie nicht infizieren können ausführbare Dateien, und die Menschen selten Austausch Festplatten. Eine Diskette hat nur eine einzelne Partition und nicht über einen MBR. Stattdessen, wenn der Computer die Stiefel BIOS von einer Diskette, sucht er die Diskette der Bootsektor, die wiederum das Betriebssystem lädt.

Nachdem Michelangelo wurde auf einem PC läuft, würde es automatisch heftet sich in den Bootsektor von Disketten alle in den Computer eingelegt. Das Virus konnte diese wegen ihrer Fähigkeit, sich selbst in den Arbeitsspeicher laden, indem es an Low-Level-BIOS Treiber und aktiv bleiben, nachdem das Betriebssystem gestartet dich zu erreichen. Proben, die im RAM des infizierten Computers bleiben können, sind speicherresidente Viren bezeichnet werden. Diese Eigenschaft kann auf ein Virus unabhängig davon, ob seine primäre Ziel ist ein Boot-Sektor oder einer ausführbaren Datei zugeordnet werden. Viren, die nicht speicherresidente manchmal genannt werden direct-action-Viren sind Geschöpfe des Augenblicks, die handeln, wenn ihre Host ausgeführt wird und nicht zum Verweilen ein.

Die gute Nachricht ist, dass die Wirksamkeit speicherresidente Bootsektorviren stark ist in Windows NT und die nachfolgende Versionen von Microsoft Windows vermindert (2000, XP und 2003 so weit). Diese Betriebssysteme nicht mehr auf das BIOS für Low-Level-Zugriff auf lokale Festplatten zurückgreifen. Als Ergebnis, auch wenn der PC infiziert ist Bootsektor und das Virus in den Arbeitsspeicher geladen, wird der Virus-Code ignoriert, sobald Windows gestartet werden. Das Virus wird geladen, aber nicht die Chance bekommen, sich auf neue Disketten oder Festplatten kritzeln, während das Betriebssystem die Kontrolle hat. Dies bedeutet, dass das Virus nicht in der Lage sein, neue Ziele beimessen, während Windows läuft. Auf der anderen Seite kann das Virus noch aktivieren seiner Nutzlast, bevor Windows geladen wird, was möglicherweise zu Schaden, während der PC ausführt bösartige Anweisungen in den Boot-Sektor.

Wir sollten beachten Sie jedoch, dass Windows-Computern, die Verwendung von NTFS auf der Systempartition kann abstürzen, wenn seine PBS infiziert. Dies liegt daran, auf NTFS-formatierte Festplatten, Windows spezielle Anweisungen Orte in den Bereichen unmittelbar nach der PBS, die mit dem Laden des Betriebssystems unterstützen. Ein Virus könnte überschreiben Sie diese Anweisungen beim Anbringen der PBS, die Verhütung von Windows zu wissen, wie man richtig startet, und dass der Rechner zum Absturz bringen.

Wir haben die primären Techniken, die Viren anwenden, um ausführbare Dateien und Boot-Sektoren infizieren gesehen, aber diese sind nicht die einzigen Mechanismen dieser Erreger eingesetzt werden. Darüber hinaus ausführbaren Dateien und Boot-Sektoren, andere beliebte Ziele von Computerviren sind Dokument-Dateien, die die Fähigkeit zur ausführbaren Code zu tragen haben.

Verfasst von Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions