I virus infettano le partizioni di ripristino? [duplicare]

6

Nei "Good ol 'Days", Windows è apparso su un CD, e quando uno ha avuto un virus, uno ha avuto l'originale, scrive solo il medium per ripulire completamente il proprio computer.

Oggigiorno, la maggior parte dei computer ha una "partizione di ripristino", in cui l'OEM ha un'immagine del disco di un programma di installazione di Windows. Tuttavia, questa immagine è tecnicamente RW.

I virus infettano questa partizione per sopravvivere ai ripristini di fabbrica?

Quali metodi usano gli OEM per impedire che questa partizione venga infettata?

    
posta rec 13.03.2016 - 05:14
fonte

1 risposta

0

Negli ultimi tempi molti virus infettavano quasi tutti i binari che riuscivano a trovare ma in questi giorni non ci sono più. La maggior parte dei malware è silenziosa e tenta di nascondersi in un posto preferibilmente non invadente come la directory System Volume Information , che per impostazione predefinita è bloccata per ogni utente, anche quelli amministrativi. Questa directory è un buon posto in cui nascondersi perché esiste su tutti i moderni (e non così moderni) sistemi Windows che rendono la maggior parte dei sistemi bersagliati dal malware. Questo non è il caso quando si tratta di partizioni di ripristino. Non sono presenti ovunque e infettarli in un modo che consente loro di sopravvivere al processo di ripristino potrebbe non essere la cosa più facile da fare.

Quindi tecnicamente ci sono sicuramente dei virus che infettano la partizione di ripristino perché infettano tutti i binari casuali o casuali ma infetteranno la partizione di ripristino "per sbaglio" e per lo più in un modo che non sopravviverà al ripristino del sistema da quella partizione. Non ho mai sentito di malware in particolare per il targeting delle partizioni di ripristino.

Uno sviluppatore di malware che desidera specificamente realizzarlo deve sapere come funziona il processo di recupero e questo processo sarà diverso da un fornitore all'altro e forse anche da un modello all'altro. Ciò aumenta notevolmente le spese per il malware.

Penso che il problema generale qui sia che un file infetto sulla partizione di ripristino potrebbe non causare un'infezione sul sistema ripristinato. Ci sono alcuni binari ma la maggior parte dei dati è nella mia esperienza memorizzata in un'immagine della partizione che verrà ripristinata. Quando il malware infetta i binari e vengono eseguiti per avviare il processo di recupero, verranno eseguiti solo sul sistema già infetto ma dopo il riavvio non saranno più disponibili. Quindi l'attaccante ha bisogno di manipolare l'immagine e forse anche lo strumento di recupero se verifica il checksum dell'immagine che verrà ripristinata.

Nel complesso è sicuramente possibile ma non molto efficiente perché si tratta di un attacco molto specifico che non funzionerà sulla maggior parte di tutti i sistemi infetti, il che lo rende poco interessante per gli sviluppatori di malware.

    
risposta data 13.03.2016 - 10:24
fonte

Leggi altre domande sui tag