Warum ist es überhaupt möglich, den Bootsektor zu überschreiben?

1124
Thomas

Warum ist es möglich, den Bootsektor in Windows so trivial zu überschreiben? Ich hatte gerade einen kleinen Codierungsunfall beim Schreiben auf eine rohe physische Festplatte, und ich habe die Arithmetik durcheinander gebracht und den Boot-Sektor auf Null gestellt (Rookie-Versagen, ich gebe zu). Leicht behoben. Aber sollte ein Betriebssystem nicht eine Warnung ausgeben, wenn ein zufälliges Programm versucht, auf den Boot-Sektor zu schreiben (was wahrscheinlich der wichtigste Teil der Daten der Festplatte ist, da ohne diese die Festplatte nicht erkannt wird)?

Mein Antivirenprogramm hat nicht einmal mein Programm aufgegriffen, ich schaudere bei dem Gedanken, dass ein Virus gerade dabei ist und meinen Bootsektor unschuldig überschrieben hat. Ich meine, diese Art von Zeug gilt als "potenziell schädlich", richtig?

Es ist keine große Sache, aber ich war überrascht, dass es überhaupt möglich war. Gibt es Möglichkeiten, Windows den Zugriff auf den Boot-Sektor einzuschränken, damit ich (oder ein anderes schändlicheres Programm) es nicht noch einmal vermasseln kann?

1
Läuft es als Administrator? Denn ich würde mir noch mehr Sorgen machen, wenn das ohne Erhöhung möglich wäre. Bob vor 12 Jahren 0
Ja, es lief mit Administratorrechten (Gott sei Dank). Thomas vor 12 Jahren 0
Warum sollte es nicht möglich sein? Weil Menschen, die Low-Level-Software entwickeln und mit erhöhten Rechten betreiben, ohne angemessene Sicherheitsvorkehrungen, verbrennen? Kein Unterschied zu `rm -rf` unter Linux oder einer Reihe anderer gefährlicher Befehle. Daniel Beck vor 12 Jahren 4
@DanielBeck Mit Ausnahme von Vista haben wichtige Systemdateien standardmäßig nur Schreibzugriff auf `TrustedInstaller`. Sicher, es ist möglich, den Besitz zu übernehmen, aber das Standardkonto "Administrator" kann sie nicht ändern, im Gegensatz zu "root" von Linux. Tatsächlich hat "system", das Äquivalent zu "root" in Bezug auf Berechtigungen, keinen Schreibzugriff. Wenn es möglich ist, Systemdateien / -binärdateien mit normaler Höhe zu ändern (natürlich müssen Sie das NTFS-Dateisystem irgendwie lesen), dann könnte dies als Sicherheitslücke angesehen werden. Bob vor 12 Jahren 1
Malware schreibt jetzt in den Boot-Sektor und ist eine sehr beliebte Methode, um die Infektion auch nach erfolgreicher Entfernung vom Betriebssystem dauerhaft zu machen. Sie wird bei jedem Booten neu installiert, indem Code ausgeführt wird, der im Boot-Sektor gespeichert wurde, lange bevor Windows geladen wird Malware speichert tatsächlich zusätzlichen Code im zweiten K der Festplatte, der derzeit von nichts anderem verwendet wird und den die meisten nicht bekannt sind. Wie dies geschieht, ohne in Fenstern gekennzeichnet zu werden, ändert sich ständig. Moab vor 12 Jahren 0
Die Festplatte kann ohne den Bootssektor erkannt werden. Aber das OS wird nicht Alex vor 12 Jahren 0

1 Antwort auf die Frage

6

Warum war das möglich?

  • Die Software wurde mit Administratorrechten ausgeführt

Warum hat der AV mein Programm nicht aufgenommen?

  • Ihr AV unterstützt möglicherweise keine verhaltensbasierte Erkennung.
  • Ihr AV ging davon aus, dass es sich nicht um einen Computervirus handelt, da diese sich verbreiten möchten und nicht sofort Windows töten. Dies wäre nachlässig, weil:
  • Malware schreibt jetzt in den Boot-Sektor und ist eine sehr beliebte Methode, um die Infektion auch nach erfolgreicher Entfernung vom Betriebssystem dauerhaft zu machen. Sie wird bei jedem Booten neu installiert, indem Code ausgeführt wird, der im Boot-Sektor gespeichert wurde, lange bevor Windows geladen wird Malware speichert tatsächlich zusätzlichen Code im zweiten K der Festplatte, der derzeit von nichts anderem verwendet wird und den die meisten nicht bekannt sind. Wie dies geschieht, ohne in Fenstern gekennzeichnet zu werden, ändert sich ständig. - Moab

Sollte ein Betriebssystem keine Warnung geben, wenn ein zufälliges Programm versucht, auf den Boot-Sektor zu schreiben?

  • Ja sollte es Mit einem großen Popup-Fenster im UAC-Stil.
  • Seit Vista haben wichtige Systemdateien standardmäßig nur Schreibzugriff auf TrustedInstaller. Sicher, es ist möglich, den Besitz zu übernehmen, aber das Standard-Administratorkonto kann sie nicht ändern, anders als bei Linux. Tatsächlich hat das System, das in Bezug auf Berechtigungen dem Root entspricht, keinen Schreibzugriff. Wenn es möglich ist, Systemdateien / Binärdateien mit normaler Höhe zu ändern (natürlich müssen Sie das NTFS-Dateisystem irgendwie lesen), dann könnte dies als Sicherheitslücke angesehen werden ... - Bob
Darüber hinaus haben verschiedene BIOS-Versionen den Schutz des Bootsektors zugelassen, aber Sie müssen diese Kaufentscheidung treffen und dann aktivieren. Fiasco Labs vor 12 Jahren 1

Verwandte Probleme