Windows protegge l'MBR dalla sovrascrittura?

2

Ho letto articolo su TDL / Alureon Rootkit :

According to research published on Monday by GFI Software, the latest TDL4 installation penetrates 64-bit versions of Windows by bypassing the OS’s kernel mode code signing policy, which is designed to allow drivers to be installed only when they have been digitally signed by a trusted source. The rootkit achieves this feat by attaching itself to the master boot record in a hard drive’s bowels and changing the machine’s boot options.

Ciò significa che Windows non protegge l'MBR dalla sovrascrittura? Può quindi qualsiasi programma, incluso malware / rootkit, eseguire i privilegi di amministratore semplicemente sovrascrivere MBR e semplicemente bypassare l'applicazione della firma del driver?

Grazie per qualsiasi spiegazione.

    
posta som3us3r 25.04.2018 - 22:50
fonte

2 risposte

1

Un utente amministrativo / di sistema ha accesso completo al sistema e può apportare modifiche alle partizioni del disco, ecc. Inoltre, esistono strumenti per Windows che possono modificare l'MBR in modo che facciano riferimento a un bootloader differente. Quindi direi, no, non c'è nulla che lo protegga.

La domanda fa sembrare un grosso problema che "qualsiasi programma" in esecuzione con privilegi di amministratore possa sovrascrivere l'MBR. Un processo con i privilegi di SISTEMA può fare tutto ciò che vuole. Tuttavia, questo è il modello di minaccia standard; se qualcun altro esegue codice sul tuo computer, non è più il tuo computer.

    
risposta data 26.04.2018 - 00:05
fonte
1

Difendere l'MBR dalle modifiche può essere un compito difficile. Ma c'è un modo per avvertire l'utente che il file del caricatore di OS Windows è stato modificato.

A partire da Windows 6.1 c'è una possibilità integrata di usare Require Signature Check o INTEGRITYCHECK . Questo strumento può controllare se il file è stato modificato e persino impedire il caricamento del sistema operativo. Per esempio. se si desidera utilizzare il software EasyBCD per modificare il codice del caricatore di Windows da un sistema operativo guest, è possibile ricevere notifiche su tali modifiche durante il successivo caricamento con codice di stato 0xc0000428.

QuestasicurezzapuòessereapplicatanonsoloperifilecaricatoremaperqualsiasiDLLcheimplementailcodiceinmodalitàkernel.

Lamenzionediquestatecnicapuòancheessereanalizzatainmaggioridettagliinquesto origine libro .

    
risposta data 26.04.2018 - 22:19
fonte

Leggi altre domande sui tag