Por que é possível sobrescrever o setor de inicialização?

1

Por que é possível sobrescrever o setor de inicialização de maneira trivial no Windows? Acabei de ter um pequeno acidente de codificação envolvendo a gravação em um disco físico bruto, e baguncei a aritmética e acabei zerando o setor de inicialização (falha do rookie, eu admito). Facilmente consertado embora. Mas um SO não deveria dar algum tipo de aviso quando algum programa aleatório tenta escrever no setor de inicialização (que é discutivelmente a seção mais importante dos dados do disco rígido, já que sem ele, o disco rígido não é reconhecido)? / p>

Meu antivírus nem pegou meu programa, estremeço ao pensar em um vírus aparecendo e inocentemente substituindo meu setor de inicialização. Quero dizer, com certeza esse tipo de coisa se qualifica como "potencialmente prejudicial", certo?

Não é grande coisa, mas fiquei surpreso ao ver que era possível. Existe alguma maneira de o Windows restringir o acesso ao setor de inicialização para que eu (ou outro programa mais nefasto) não consiga estragar tudo de novo?

    
por Thomas 20.04.2012 / 14:14

1 resposta

6

Por que isso foi possível?

  • O software estava sendo executado com privilégios de administrador

Por que o AV não pegou meu programa?

  • Seu antivírus provavelmente não oferece suporte à detecção baseada em comportamento.
  • O seu AV assumiu que não é um vírus de computador, porque eles querem se espalhar e não matar instantaneamente o Windows. Isso seria negligente porque:
  • O malware é gravado no setor de inicialização agora e é uma forma muito popular de tornar a infecção persistente mesmo após a remoção bem-sucedida do sistema operacional, ele se reinstala em cada inicialização executando código armazenado no setor de inicialização muito antes do carregamento do Windows , alguns malwares avançados na verdade armazenam código adicional no segundo K do disco rígido, que atualmente não é usado por mais nada, e não é bem conhecido pela maioria. Como isso acontece sem ser sinalizado no Windows está sempre mudando. - Moab

Um SO não deveria dar algum tipo de aviso quando algum programa aleatório tenta escrever no setor de inicialização?

  • Sim, deveria. Com uma janela pop-up grande no estilo UAC.
  • Desde o Vista, os arquivos de sistema importantes só dão acesso de gravação ao TrustedInstaller por padrão. Claro, é possível assumir a propriedade, mas a conta de administrador padrão não pode modificá-los, ao contrário da raiz do Linux. Na verdade, o sistema, o equivalente a raiz em termos de permissões, não tem acesso de gravação. Se é possível modificar arquivos de sistema / binários com elevação normal (claro, precisando ler o sistema de arquivos NTFS de alguma forma), então isso pode ser visto como uma falha de segurança ... - Bob
por 21.04.2012 / 16:57