Il rootkit VBR può sopravvivere nel formato?

1

Ho trovato questo articolo che parla di un rootkit che infetta il VBR e crea un file system virtuale nello spazio non allocato tra le partizioni. So che ci sono rootkit MBR che non possono essere cancellati semplicemente riformattando la partizione e per sbarazzarsene bisogna sovrascrivere i primi 512 byte del drive o ripartizionare il drive, cancellare la tabella delle partizioni e crearne una nuova. Tuttavia questo articolo parla di VBR, non di MBR, e c'è scritto che riformattare la partizione e reinstallare il sistema operativo non può eliminare il malware. Il VBR è il primo settore di una partizione e, secondo vari siti sul web, viene creato quando si formatta una partizione. Naturalmente se si riformatta la partizione il file system virtuale rimarrà nello spazio non allocato, ma senza il VBR infetto nulla può eseguire codice da esso. Qualcuno può spiegare come è possibile che questo malware sopravviva alla reinstallazione del sistema operativo?

    
posta zack 20.12.2017 - 10:23
fonte

0 risposte

Leggi altre domande sui tag