Un USB con un MBR o GPT infetto può danneggiare un sistema operativo che lo legge?

Naviga le tue risposte
2

Si supponga che un'unità USB abbia un MBR o GPT contenente malware. Ho già capito che l'avvio da un dispositivo USB avrebbe eseguito il malware come parte del bootloader. Se capisco correttamente, se un computer pulito è stato avviato in un sistema operativo tradizionale (macOS, Windows 10, Ubuntu, eccetera) e quindi il dispositivo infetto è stato inserito, il sistema operativo non eseguirà il codice ma continuerà a vedere l'MBR o il GPT.

È corretto che

A: un MBR o GPT infetto introdotto in un sistema operativo pulito e già funzionante non avrebbe alcun effetto dannoso in quel momento ...

E B: dovrebbe rimanere inserito durante il riavvio (ed essere il dispositivo avviato chiamato dal BIOS) per avere un effetto dannoso?

Si noti che questa domanda ha una portata limitata e non riguarda il livello del firmware dell'unità USB, né i dati sulla sua partizione dati. IMO quelle domande dovrebbero essere gestite con discrezione, non conflated.

    
posta MasterOfNone 10.12.2018 - 00:08
fonte

1 risposta

1

Per i classici virus del settore di avvio, generalmente no. Questi richiedono l'esecuzione di codice reale incorporato nel settore di avvio (che coincide con la tabella delle partizioni negli arrangiamenti di MBR, ma non nelle configurazioni GPT), e nessun sistema operativo sane esegue il codice dal settore di avvio di mezzi di comunicazione.

C'è comunque una notevole eccezione a questo, il formato della tabella delle partizioni RDB (Amiga Rigid Disk Block) può incorporare i driver del filesystem nella tabella delle partizioni stessa, quindi è teoricamente possibile che il malware sia diffuso in quel modo, anche se è estremamente improbabile (funzionerebbe solo su sistemi che eseguono AmigaOS o sistemi operativi compatibili e il mercato di tale malware è quasi inesistente).

C'è una possibilità relativamente piccola ma ancora presente, tuttavia, che il sistema operativo stesso potrebbe avere un bug nell'analisi della tabella delle partizioni che alla fine consentirebbe un exploit ACE che potrebbe essere utilizzato per infettare il sistema. Per un MBR, questo è estremamente improbabile, il formato è in uso da decenni, ha una dimensione fissa ed è banale da analizzare. Per GPT, è un po 'più probabile, in quanto la struttura GPT ha dimensioni variabili (anche se è raro vederne una che non sia 128 voci standard). Altri formati di tabelle di partizione avranno probabilità variabili, ma probabilmente oggi non contano molto.

    
risposta data 10.12.2018 - 21:26
fonte

Leggi altre domande sui tag

È possibile cambiare l'utente / password amministratore da remoto su un router senza effettuare l'accesso? [chiuso] È possibile utilizzare "Blackberry Protect" insieme a un criterio IT BES?