为什么在 Windows 中可以如此轻松地覆盖引导扇区?我刚刚在写入原始物理磁盘时发生了一点编码事故,我搞砸了算术,最终将引导扇区清零(我承认这是新手的失误)。不过很容易修复。但是当某个随机程序试图写入引导扇区时,操作系统难道不应该发出某种警告吗(引导扇区可以说是硬盘数据中最重要的部分,因为没有它,硬盘就无法识别)?
我的防病毒软件甚至没有发现我的程序,一想到病毒会无意中覆盖我的引导扇区,我就不寒而栗。我的意思是,这种东西肯定符合“潜在破坏性”的条件,对吧?
这没什么大不了的,但我很惊讶居然还有这种可能。有什么方法可以让 Windows 限制对引导扇区的访问,这样我(或其他更恶意的程序)就不会再搞砸它了?
答案1
为什么这是可能的?
- 该软件以管理员权限运行
为什么 AV 没有接收我的程序?
- 您的 AV 可能不支持基于行为的检测。
- 您的 AV 认为这不是计算机病毒,因为它们会自行传播,而不会立即杀死 Windows。这是疏忽,因为:
- 恶意软件现在确实会写入引导扇区,并且这是一种非常流行的方法,即使成功从操作系统中删除后,感染仍会持续存在,它会在每次启动时重新安装自身,在 windows 加载之前运行存储在引导扇区中的代码,一些高级恶意软件实际上会在硬盘的第二个 K 中存储额外的代码,目前其他任何东西都未使用这些代码,而且大多数人都不知道。它如何在不被 windows 标记的情况下做到这一点一直在变化。– Moab
当某些随机程序尝试在引导扇区上进行写入时,操作系统不应该给出某种警告吗?
- 是的,应该有。带有一个大的 UAC 样式的弹出窗口。
- 自 Vista 以来,重要的系统文件默认只向 TrustedInstaller 授予写入权限。当然,可以取得所有权,但标准管理员帐户无法修改它们,这与 Linux 的 root 不同。事实上,系统在权限方面相当于 root,但没有写入权限。如果可以使用正常提升权限修改系统文件/二进制文件(当然,需要以某种方式读取 NTFS 文件系统),那么这可能被视为安全漏洞…… – Bob