Запретить доступ к загрузочной части жесткого диска, установить защиту от загрузочных вирусов

Обновлено: 21.11.2024

Первый шаг одинаков для любого компьютерного вируса, независимо от его типа. После первого шага тип вируса определяет последующие шаги.

Используйте антивирусный сканер

Всегда пытайтесь удалить любой вирус с помощью коммерческого антивирусного сканера. В некоторых случаях, например для томов NTFS, может потребоваться сначала загрузиться с тома, а затем запустить антивирусный сканер. В Windows 2000 AVBOOT является хорошим средством для удаления загрузочных вирусов без излишеств, если его поддерживать в актуальном состоянии. Дальнейшие действия предполагают, что у вас нет антивирусного сканера или он не распознал и не удалил вирус.

Удаление загрузочных вирусов

Удаление большинства загрузочных вирусов и MBR-вирусов включает в себя многие из шагов, описанных в главе 2. Самое сложное в мире Windows — определить, какой тип загрузочной дискеты вы должны использовать для очистки от вируса и восстановления загрузочных областей. до их чистого состояния. Каждая из различных файловых систем Windows, FAT, VFAT, FAT32 и NTFS, имеет свои собственные загрузочные файлы.

Загрузиться с чистого диска

Во-первых, вам нужно загрузиться с известной, чистой, защищенной от записи дискеты, которая распознает раздел диска. Это означает, что вы не можете использовать загрузочный диск FAT32 на томе FAT или диск FAT на разделе NTFS, и наоборот.

Если загрузочный вирус или ущерб, который он может нанести, неизвестны, а загрузочная дискета дает вам доступ к разделу диска, скопируйте важные файлы без резервных копий на дискету. Всегда есть небольшой шанс, что в процессе очистки вы можете еще больше ухудшить процесс и сделать раздел недоступным. Если вы не можете получить доступ к разделу диска через загрузочный диск, возможно, вам придется переустановить операционную систему и восстановить данные с ленты.

Создание аварийной загрузочной дискеты Windows 98 Fat32

Установочный компакт-диск Windows 98 содержит папку \TOOLS\MTSUTIL\FAT32EBD. Он содержит файл FAT32EBD.EXE, который создаст аварийную загрузочную дискету FAT32. Вы также можете создать более полную загрузочную дискету в Windows 9x, создав загрузочную дискету в процессе установки. Вы можете сделать это в любое время, выбрав «Пуск» → «Настройки» → «Панель управления» → «Установка и удаление программ» → «Автозагрузка». Как и другие параметры загрузочного диска, о которых говорилось в этом разделе, обязательно защитите дискету от записи, чтобы предотвратить заражение компьютерным вирусом.

Создание загрузочной дискеты Windows NT

Удаление загрузочного вируса вручную

В Windows 3.x и 9x можно использовать SYS C: с чистой загрузочной дискеты для восстановления загрузочного сектора или FDISK /MBR для восстановления основной загрузочной записи. Применяются те же правила, когда и когда не запускать эту команду, которые были представлены в главе 2. Не запускайте FDISK /MBR, если вы не уверены, что это не повредит диск.

Предупреждение

Не используйте FDISK /MBR с Windows NT! Использование FDISK для восстановления основной загрузочной записи может иметь катастрофические последствия в NT и 2000. FDISK /MBR перезаписывает только MBR, а не всю загрузочную запись, и часто перезаписывает подписи дисков NT. Если на вашем компьютере установлены отказоустойчивые диски NT, запуск FDISK /MBR может устранить избыточность. Лучше перестраховаться, чем сожалеть, поэтому не запускайте FDISK /MBR в среде NT или 2000.

Часто использование диска аварийного восстановления (ERD) является единственным способом восстановить поврежденные загрузочные или системные файлы NT. ERD должен быть создан до заражения (используя RDISK.EXE /S в NT 4.0). Вставьте установочный компакт-диск NT в дисковод и загрузитесь с установочных дискет. Выберите R, чтобы восстановить установку NT. Выберите «Проверить загрузочный сектор» и «Восстановить среду запуска». Параметр восстановления NT предложит вам ваш диск ERD, когда это необходимо. Если у вас есть загрузочный или MBR-вирус, один из этих методов очистки должен удалить вредоносный код.

В Windows 2000 предусмотрены функции восстановления вручную и быстрого восстановления в процессе аварийного восстановления. Любой процесс делает одно и то же, но быстрое восстановление делает это без особых запросов.

Вы можете заменить поврежденный MBR или загрузочный сектор с помощью новой консоли восстановления 2000. Запустите компьютер с установочного компакт-диска Windows 2000 или дискет. Нажмите Enter на экране уведомления об установке, затем R, чтобы восстановить, затем C, чтобы получить доступ к консоли восстановления. Он попросит вас выбрать текущую действующую установку 2000 и запросит пароль локального администратора. После этого вы сможете вводить команды в окне консоли. Введите FIXMBR, чтобы перезаписать основной загрузочный код новой копией, или введите FIXBOOT, чтобы заменить загрузочный сектор жесткого диска.

DiskProbe и DiskSave

Компакт-диск Windows NT Server Resource Kit содержит две важные утилиты для редактирования дисков. Один, DISKPROBE.EXE ,

Невозможно выполнить обновление до Windows 95/98 из-за защиты загрузочного сектора BIOS от вирусов

Проблема

Некоторые производители BIOS используют в своих продуктах защиту от вирусов.
В любое время, когда программное обеспечение запрашивает (через интерфейс жесткого диска BIOS, Int 13h) запись основной или загрузочной записи DOS на диске C:, выдается предупреждение, сообщающее пользователю, безопасно ли продолжать.
Возможно, работает загрузочный вирус!

При установке Windows 95 программе установки необходимо выполнить запись в загрузочную запись DOS. То же самое относится и к Windows 98, за исключением случаев обновления с Windows 95.
Если предупреждение о вирусах в BIOS по-прежнему включено, установка завершится ошибкой сразу после принятия лицензионного соглашения.
Кроме того, не будет отображаться предупреждение о вирусе, поскольку программа установки Win95/98 перевела дисплей в графический режим. Это заставит пользователя догадываться, что не так!
После перезагрузки вы увидите сообщение о необходимости отключить всю защиту от вирусов в вашей системе.

Решение должно быть простым.
Просто отключите предупреждение о вирусах через CMOS SETUP перед установкой Windows 95/98.
Однако существуют BIOS, в которых это невозможно!

У меня есть отчеты от AMI 11/11/92 BIOS, но большинство отчетов исходят от конкретных OEM-версий Award Modular BIOS v4.50, v4.50G, v4.50PG и v4.51PG.

Решение 1.

Для Award Modular BIOS я написал программу для восстановления вашего контроля над защитой от вирусов BIOS. Вы можете скачать это здесь; он называется VIRWARN (ZIP-файл 5,4 КБ).
Теперь программа имеет версию 1.2 (10.10.97) и поставляется с текстовым файлом с дополнительной информацией.
VIRWARN не может управлять функцией предупреждения о вирусах в BIOS без премии, но позволяет проверить наличие активного предупреждения о вирусах во всех марках BIOS.

Решение 2.

  1. Используйте недокументированную команду Setup /ir, чтобы запретить программе установки Win95/98 запись в загрузочные области.
  2. Создайте аварийный диск во время установки (вам будет предложено)
  3. Загрузиться с этого диска после завершения установки
  4. В приглашении A:\> введите команду SYS C: и введите "Y", чтобы принять изменение загрузочного сектора, если появится предупреждение о вирусе.
  5. Удалите аварийный диск. Теперь вы сможете загружать и запускать Windows 95/98 с жесткого диска.

Некоторые заключительные замечания

Функция BIOS «Предупреждение о вирусах в загрузочном секторе» предупредит вас только о действиях по записи в основную загрузочную запись или в загрузочную запись DOS на диске C:.
Программы, выполняющие запись в эти области, включают вирусы загрузочного сектора, программу установки операционных систем, программу установки Disk Manager/EZ-Drive, утилиты восстановления диска, менеджеры загрузки и программы DOS Fdisk и Format. .

Предупреждение о вирусах BIOS предназначено только для защиты этих жизненно важных областей диска от упомянутых вирусов, и вы должны отключить его при (пере)установке новой операционной системы или жесткого диска.
Также используйте другое антивирусное программное/аппаратное обеспечение для защиты вашей системы от других видов вирусов!

Обратите внимание, что в Windows 95/98 предупреждение о вирусах BIOS не работает, потому что эта ОС использует собственный драйвер диска в защищенном режиме, а интерфейс жесткого диска BIOS больше не используется (кроме безопасного режима или режима совместимости).
По вопросу защиты загрузочного сектора от вирусов в Windows 95 вы можете прочитать статью базы знаний Microsoft: Q143281.

и еще один, DISKSAVE.EXE . Оба являются утилитами командной строки, которые можно использовать для резервного копирования, исправления и восстановления загрузочных секторов, MBR и таблиц разделов. Хотя оба содержат подробные инструкции, они не предназначены для использования новичками. С DiskProbe вам придется работать непосредственно с шестнадцатеричным кодом на диске и сравнивать то, что вы найдете, с тем, что у вас должно быть, и вносить изменения. DISKSAVE — более простая из двух утилит. Он позволяет сохранять данные одним нажатием клавиши и восстанавливает загрузочный сектор, MBR и таблицу разделов. DISKSAVE необходимо запускать из командной строки DOS, а сохраненные сектора сохраняются в виде образов двоичных файлов. Я использовал DISKSAVE для отправки зараженных вирусом загрузочных секторов другим исследователям по электронной почте.

Невозможно выполнить обновление до Windows 95/98 из-за защиты загрузочного сектора BIOS от вирусов

Проблема

Некоторые производители BIOS используют в своих продуктах защиту от вирусов.
В любое время, когда программное обеспечение запрашивает (через интерфейс жесткого диска BIOS, Int 13h) запись основной или загрузочной записи DOS на диске C:, выдается предупреждение, сообщающее пользователю, безопасно ли продолжать.
Возможно, работает загрузочный вирус!

При установке Windows 95 программе установки необходимо выполнить запись в загрузочную запись DOS. То же самое относится и к Windows 98, за исключением случаев обновления с Windows 95.
Если предупреждение о вирусах в BIOS по-прежнему включено, установка завершится ошибкой сразу после принятия лицензионного соглашения.
Кроме того, не будет отображаться предупреждение о вирусе, поскольку программа установки Win95/98 перевела дисплей в графический режим. Это заставит пользователя догадываться, что не так!
После перезагрузки вы увидите сообщение о необходимости отключить всю защиту от вирусов в вашей системе.

Решение должно быть простым.
Просто отключите предупреждение о вирусах через CMOS SETUP перед установкой Windows 95/98.
Однако существуют BIOS, в которых это невозможно!

У меня есть отчеты от AMI 11/11/92 BIOS, но большинство отчетов исходят от конкретных OEM-версий Award Modular BIOS v4.50, v4.50G, v4.50PG и v4.51PG.

Решение 1.

Для Award Modular BIOS я написал программу для восстановления вашего контроля над защитой от вирусов BIOS. Вы можете скачать это здесь; он называется VIRWARN (ZIP-файл 5,4 КБ).
Теперь программа имеет версию 1.2 (10.10.97) и поставляется с текстовым файлом с дополнительной информацией.
VIRWARN не может управлять функцией предупреждения о вирусах в BIOS без премии, но позволяет проверить наличие активного предупреждения о вирусах во всех марках BIOS.

Решение 2.

  1. Используйте недокументированную команду Setup /ir, чтобы запретить программе установки Win95/98 запись в загрузочные области.
  2. Создайте аварийный диск во время установки (вам будет предложено)
  3. Загрузиться с этого диска после завершения установки
  4. В приглашении A:\> введите команду SYS C: и введите "Y", чтобы принять изменение загрузочного сектора, если появится предупреждение о вирусе.
  5. Удалите аварийный диск. Теперь вы сможете загружать и запускать Windows 95/98 с жесткого диска.

Некоторые заключительные замечания

Функция BIOS «Предупреждение о вирусах в загрузочном секторе» предупредит вас только о действиях по записи в основную загрузочную запись или в загрузочную запись DOS на диске C:.
Программы, выполняющие запись в эти области, включают вирусы загрузочного сектора, программу установки операционных систем, программу установки Disk Manager/EZ-Drive, утилиты восстановления диска, менеджеры загрузки и программы DOS Fdisk и Format. .

Предупреждение о вирусах BIOS предназначено только для защиты этих жизненно важных областей диска от упомянутых вирусов, и вы должны отключить его при (пере)установке новой операционной системы или жесткого диска.
Также используйте другое антивирусное программное/аппаратное обеспечение для защиты вашей системы от других видов вирусов!

Обратите внимание, что в Windows 95/98 предупреждение о вирусах BIOS не работает, потому что эта ОС использует собственный драйвер диска в защищенном режиме, а интерфейс жесткого диска BIOS больше не используется (кроме безопасного режима или режима совместимости).
По вопросу защиты загрузочного сектора от вирусов в Windows 95 вы можете прочитать статью базы знаний Microsoft: Q143281.

Есть комментарии? Пожалуйста, отправьте сообщение по адресу J.Steunebrink@net.HCC.nl

Предупреждение. Если вам не совсем понятна следующая процедура, не пытайтесь ее выполнить. Любые ошибки, которые вы совершаете, могут привести к потере данных или вызвать сбой в работе компьютера. Не используйте утилиту fdisk для восстановления основной загрузочной записи, если вы используете что-либо из следующего:

  • Windows XP
  • Windows NT
  • Windows 2000
  • Юникс
  • Линукс
  • Сторонние программы для создания загрузочных разделов (например, System Commander, PartitionMagic)
  • Мультизагрузочные системы, требующие выбора операционной системы в процессе загрузки

Ввод fdisk /mbr может стереть важную информацию о загрузочном секторе, сделать жесткий диск непригодным для использования и привести к потере данных. Обратитесь в службу поддержки производителя, чтобы определить проблему и найти правильное решение.

Восстановление основной загрузочной записи

  • При загрузке компьютера появляется сообщение о том, что установка программы не завершена.
  • Ваш компьютер зависает. Он не выводит подсказку DOS или начальный экран.

Если вы используете DOS 5.0 или более позднюю версию, Windows 95, Windows 98 или Windows Me, вы можете использовать утилиту fdisk, чтобы попытаться восстановить главную загрузочную запись. Когда вы используете fdisk с параметром mbr, основная загрузочная запись перезаписывается на жесткий диск без изменения информации таблицы разделов на диске. Чтобы запустить эту утилиту, выполните следующие действия:

Этот контент был заархивирован и больше не поддерживается Университетом Индианы. Информация здесь может быть неточной, а ссылки могут быть недоступны или ненадежны.

Что делают вирусы загрузочного сектора

Вирусы загрузочного сектора заражают или заменяют своим кодом загрузочный сектор DOS или главную загрузочную запись (MBR) ПК. MBR — это небольшая программа, которая запускается при каждом включении компьютера. Он управляет последовательностью загрузки и определяет, с какого раздела загружается компьютер. MBR обычно находится в первом секторе жесткого диска.

Поскольку MBR запускается каждый раз при запуске компьютера, вирус загрузочного сектора чрезвычайно опасен. После заражения загрузочного кода на диске вирус будет загружаться в память при каждом запуске. Из памяти загрузочный вирус может распространиться на каждый диск, который читает система. Вирусы загрузочного сектора, как правило, очень трудно удалить, так как большинство антивирусных программ не могут очистить MBR во время работы Windows.В большинстве случаев для правильного удаления вируса из загрузочного сектора требуются загрузочные антивирусные диски, такие как аварийный набор Symantec/Norton AntiVirus (SAV/NAV).

Некоторые распространенные вирусы загрузочного сектора включают Monkey, NYB (также известный как B1), Stoned и Form.

Симптомы

Вирус загрузочного сектора может вызывать различные проблемы с загрузкой или получением данных. В некоторых случаях данные исчезают из целых разделов. В других случаях компьютер внезапно становится нестабильным. Часто зараженный компьютер не запускается или не находит жесткий диск. Кроме того, сообщения об ошибках, такие как "Неверный системный диск", могут стать распространенными.

Как они распространяются

Вирусы загрузочного сектора обычно распространяются через зараженные дискеты. Раньше это обычно были загрузочные диски, но сейчас это не так. Дискета не обязательно должна быть загрузочной для передачи вируса загрузочного сектора. Любой диск может стать причиной заражения, если он находится в дисководе при загрузке или выключении компьютера. Вирус также может распространяться по сети при загрузке файлов и вложениях файлов электронной почты. В большинстве случаев все дискеты с возможностью записи, используемые на зараженном ПК, сами заразятся вирусом загрузочного сектора.

В прошлом настройка компьютера на загрузку сначала с диска C: (жесткий), а затем с диска A: (дискета) или вообще никогда на загрузку с диска A: была разумной мерой предосторожности против загрузочного сектора. вирусы. Это уже не так, поскольку вирусы теперь более опасны и распространяются другими путями.

Вы можете настроить некоторые параметры CMOS, чтобы предотвратить запись в загрузочный сектор жесткого диска. Это может быть полезно против вирусов загрузочного сектора. Однако, если вам нужно переустановить или обновить операционную систему, вам придется изменить настройку, чтобы снова сделать MBR доступной для записи.

Для получения дополнительной информации о вирусах загрузочного сектора и вирусах в целом см.:

Меры предосторожности и устранение повреждений

Профилактика обычно заключается в бдительности и недопущении контакта с неизвестными дисками. Следующие рекомендации помогут защитить ваши системы и данные:

  • Лучшая защита от вирусов загрузочного сектора такая же, как и от вирусов в целом: хорошая антивирусная программа с актуальными определениями вирусов. Антивирусные программы выполняют две ключевые функции:
    • Поиск и удаление вирусов в файлах на дисках
    • Контролируйте работу вашего компьютера на наличие вирусоподобной активности и ищите известные действия конкретных вирусов или общую подозрительную активность

    Примечание. Управление информационной безопасности университета (UISO) рекомендует использовать последнюю версию программного обеспечения Symantec для защиты от вирусов (бесплатно для студентов, преподавателей и сотрудников IU через IUware) для вашей операционной системы; См. АРХИВ: Безопасное обновление программного обеспечения для обеспечения безопасности в Windows 7 Обязательно выполняйте безопасное обновление, ежедневно обновляйте определения вирусов и еженедельно сканируйте компьютер. Инструкции см. в справке по программному обеспечению.

    Примечание. Если вы создаете резервную копию файла, который уже заражен вирусом, вы можете повторно заразить систему, восстановив файлы из резервных копий. Перед использованием проверяйте файлы резервных копий с помощью программного обеспечения для сканирования на вирусы.

    Часть этой информации была адаптирована из статьи в публикации UITS Computing Times Online.

    Операционная система Windows имеет множество функций, помогающих защитить вас от вредоносного ПО, и делает это на удивление хорошо. За исключением приложений, которые компании разрабатывают и используют внутри компании, все приложения Microsoft Store должны соответствовать ряду требований для сертификации и включения в Microsoft Store. Этот процесс сертификации проверяет несколько критериев, включая безопасность, и является эффективным средством предотвращения проникновения вредоносных программ в Microsoft Store. Даже если вредоносное приложение проникнет, операционная система Windows 10 включает в себя ряд функций безопасности, которые могут смягчить воздействие. Например, приложения Microsoft Store изолированы и не имеют прав, необходимых для доступа к пользовательским данным или изменения системных настроек.

    В Windows предусмотрено несколько уровней защиты настольных приложений и данных. Антивирусная программа "Защитник Windows" использует облачное обнаружение в режиме реального времени для выявления и помещения в карантин приложений, которые, как известно, являются вредоносными. Фильтр SmartScreen Защитника Windows предупреждает пользователей, прежде чем разрешить им запускать ненадежное приложение, даже если оно распознано как вредоносное. Прежде чем приложение сможет изменять системные настройки, пользователь должен предоставить приложению права администратора с помощью контроля учетных записей.

    Это лишь некоторые из способов, с помощью которых Windows защищает вас от вредоносных программ. Однако эти функции безопасности защищают вас только после запуска Windows. Современные вредоносные программы, в частности буткиты, могут запускаться раньше Windows, полностью обходя систему безопасности операционной системы и оставаясь полностью скрытыми.

    Когда вы запускаете Windows 10 или Windows 11 на ПК или любом ПК, поддерживающем унифицированный расширяемый интерфейс микропрограмм (UEFI), доверенная загрузка защищает ваш компьютер от вредоносных программ с момента включения компьютера до запуска защиты от вредоносных программ.В том маловероятном случае, если вредоносное ПО действительно заразит ПК, оно не может оставаться скрытым; Надежная загрузка может доказать целостность системы для вашей инфраструктуры таким образом, что вредоносное ПО не сможет замаскировать. Даже на компьютерах без UEFI Windows обеспечивает более высокий уровень безопасности при запуске, чем предыдущие версии Windows.

    Для начала рассмотрим, что такое руткиты и как они работают. Затем мы покажем вам, как Windows может вас защитить.

    Угроза: руткиты

    Руткиты – это сложные и опасные вредоносные программы, которые запускаются в режиме ядра и используют те же привилегии, что и операционная система. Поскольку руткиты имеют те же права, что и операционная система, и запускаются раньше нее, они могут полностью скрывать себя и другие приложения. Часто руткиты являются частью целого набора вредоносных программ, которые могут обходить локальные входы в систему, записывать пароли и нажатия клавиш, передавать личные файлы и захватывать криптографические данные.

    Разные типы руткитов загружаются на разных этапах процесса запуска:

    • Руткиты прошивки. Эти комплекты перезаписывают прошивку базовой системы ввода/вывода ПК или другого оборудования, поэтому руткит может запускаться до запуска Windows.
    • Буткиты. Эти комплекты заменяют загрузчик операционной системы (небольшой фрагмент программного обеспечения, который запускает операционную систему), поэтому ПК загружает загрузчик перед операционной системой.
    • Руткиты ядра. Эти наборы заменяют часть ядра операционной системы, поэтому руткит может запускаться автоматически при загрузке операционной системы.
    • Драйвер руткитов. Эти комплекты выдают себя за один из надежных драйверов, которые Windows использует для связи с оборудованием ПК.

    Контрмеры

    Windows поддерживает четыре функции, помогающие предотвратить загрузку руткитов и буткитов во время запуска:

    • Безопасная загрузка. ПК с прошивкой UEFI и доверенным платформенным модулем (TPM) можно настроить для загрузки только доверенных загрузчиков операционной системы.
    • Надежная загрузка. Windows проверяет целостность каждого компонента процесса запуска перед его загрузкой.
    • Ранний запуск защиты от вредоносных программ (ELAM). ELAM проверяет все драйверы перед их загрузкой и предотвращает загрузку неутвержденных драйверов.
    • Измеренный ботинок. Прошивка ПК регистрирует процесс загрузки, и Windows может отправить его на доверенный сервер, который может объективно оценить работоспособность ПК.

    На рис. 1 показан процесс запуска Windows.

    Рис. 1. Безопасная загрузка, доверенная загрузка и измеряемая загрузка блокируют вредоносное ПО на каждом этапе

    Безопасная загрузка и измеренная загрузка возможны только на компьютерах с UEFI 2.3.1 и чипом TPM. К счастью, все ПК с Windows 10 и Windows 11, которые соответствуют требованиям Программы совместимости оборудования Windows, имеют эти компоненты, и многие ПК, разработанные для более ранних версий Windows, также имеют их.

    В следующих разделах описывается безопасная загрузка, доверенная загрузка, ELAM и измеряемая загрузка.

    Безопасная загрузка

    При запуске ПК он сначала находит загрузчик операционной системы. ПК без Secure Boot просто запускают любой загрузчик на жестком диске ПК. ПК не может определить, является ли это доверенной операционной системой или руткитом.

    При запуске ПК с UEFI он сначала проверяет наличие цифровой подписи микропрограммы, что снижает риск руткитов микропрограммы. Если безопасная загрузка включена, микропрограмма проверяет цифровую подпись загрузчика, чтобы убедиться, что она не была изменена. Если загрузчик не поврежден, прошивка запускает загрузчик только при выполнении одного из следующих условий:

    • Загрузчик был подписан с использованием доверенного сертификата. В случае ПК, сертифицированных для Windows, сертификат Microsoft® считается доверенным.
    • Пользователь вручную утвердил цифровую подпись загрузчика. Это позволяет пользователю загружать операционные системы сторонних производителей.

    Все компьютеры с архитектурой x86, сертифицированные для Windows, должны соответствовать нескольким требованиям, связанным с безопасной загрузкой:

    • Безопасная загрузка должна быть включена по умолчанию.
    • Они должны доверять сертификату Microsoft (и, следовательно, любому загрузчику, подписанному Microsoft).
    • Они должны позволять пользователю настраивать безопасную загрузку, чтобы доверять другим загрузчикам.
    • Они должны позволять пользователю полностью отключать безопасную загрузку.

    Эти требования помогают защитить вас от руткитов, позволяя запускать любую операционную систему. У вас есть три варианта запуска операционных систем, отличных от Microsoft:

    Чтобы предотвратить злоупотребление этими параметрами вредоносными программами, пользователь должен вручную настроить прошивку UEFI, чтобы доверять несертифицированному загрузчику или отключить безопасную загрузку. Программное обеспечение не может изменить параметры безопасной загрузки.

    Как и большинство мобильных устройств, сертифицированные для Windows RT устройства на базе ARM, такие как устройство Microsoft Surface RT, предназначены для работы только с Windows 8.1. Поэтому безопасную загрузку нельзя отключить, и вы не можете загрузить другую операционную систему. К счастью, существует большой рынок устройств ARM, предназначенных для работы с другими операционными системами.

    Надежная загрузка

    Надежная загрузка берет верх над безопасной загрузкой. Загрузчик проверяет цифровую подпись ядра Windows 10 перед его загрузкой. Ядро Windows 10, в свою очередь, проверяет все остальные компоненты процесса запуска Windows, включая загрузочные драйверы, файлы запуска и ELAM. Если файл был изменен, загрузчик обнаруживает проблему и отказывается загружать поврежденный компонент. Часто Windows может автоматически восстанавливать поврежденный компонент, восстанавливая целостность Windows и обеспечивая нормальный запуск ПК.

    Ранний запуск защиты от вредоносных программ

    Поскольку безопасная загрузка защитила загрузчик, а доверенная загрузка защитила ядро ​​Windows, следующей возможностью для запуска вредоносных программ является заражение загрузочного драйвера стороннего производителя. Традиционные приложения для защиты от вредоносных программ не запускаются до тех пор, пока не будут загружены загрузочные драйверы, что дает возможность работать руткиту, замаскированному под драйвер.

    Early Launch Anti-Malware (ELAM) может загружать драйвер защиты от вредоносного ПО Microsoft или другого производителя перед всеми загрузочными драйверами и приложениями, произведенными не Microsoft, тем самым продолжая цепочку доверия, установленную Secure Boot и Trusted Boot. Поскольку операционная система еще не запущена, а Windows необходимо загрузить как можно быстрее, перед ELAM стоит простая задача: проверить каждый загрузочный драйвер и определить, есть ли он в списке доверенных драйверов. Если он не является доверенным, Windows не загрузит его.

    Драйвер ELAM не является полнофункциональным решением для защиты от вредоносных программ. который загружается позже в процессе загрузки. Защитник Windows (входит в состав Windows) поддерживает ELAM, как и Microsoft System Center 2012 Endpoint Protection, а также несколько приложений для защиты от вредоносных программ сторонних производителей.

    Измеренная загрузка

    Если компьютер в вашей организации действительно заражен руткитом, вам необходимо об этом знать. Корпоративные приложения для защиты от вредоносных программ могут сообщать ИТ-отделу о заражении вредоносными программами, но это не работает с руткитами, которые скрывают свое присутствие. Другими словами, вы не можете доверять клиенту, чтобы он сказал вам, здоров ли он.

    В результате компьютеры, зараженные руткитами, кажутся здоровыми даже при работающем антивирусе. Зараженные ПК продолжают подключаться к корпоративной сети, предоставляя руткиту доступ к огромному количеству конфиденциальных данных и потенциально позволяя руткиту распространяться по внутренней сети.

    Работая с доверенным платформенным модулем и программным обеспечением сторонних производителей, измеряемая загрузка в Windows позволяет доверенному серверу в сети проверять целостность процесса запуска Windows. Измеренная загрузка использует следующий процесс:

    1. Прошивка UEFI ПК хранит в TPM хэш прошивки, загрузчика, загрузочных драйверов и всего, что будет загружено перед приложением для защиты от вредоносных программ.
    2. В конце процесса запуска Windows запускает клиент удаленной аттестации стороннего производителя. Доверенный сервер аттестации отправляет клиенту уникальный ключ.
    3. TPM использует уникальный ключ для цифровой подписи журнала, записанного UEFI.
    4. Клиент отправляет журнал на сервер, возможно, с другой информацией о безопасности.

    В зависимости от реализации и конфигурации сервер теперь может определить, исправен ли клиент, и предоставить ему доступ либо к ограниченной карантинной сети, либо ко всей сети.

    На рис. 2 показан процесс измеренной загрузки и удаленной аттестации.

    Рис. 2. Измеренная загрузка подтверждает работоспособность ПК удаленному серверу

    Windows включает интерфейсы прикладного программирования для поддержки измеряемой загрузки, но вам потребуются инструменты стороннего производителя для реализации клиента удаленной аттестации и доверенного сервера аттестации, чтобы воспользоваться этими преимуществами. В качестве примера такого инструмента загрузите набор инструментов Crypto-Provider Toolkit Platform TPM из Microsoft Research или Microsoft Enterprise Security MVP Дэна Гриффина с измеряемой загрузкой.

    Измеряемая загрузка использует возможности UEFI, TPM и Windows, чтобы дать вам возможность с уверенностью оценить надежность клиентского ПК в сети.

    Обзор

    Безопасная загрузка, доверенная загрузка и измеряемая загрузка создают архитектуру, принципиально устойчивую к буткитам и руткитам. В Windows эти функции могут устранить вредоносное ПО на уровне ядра из вашей сети. Это самое революционное решение для защиты от вредоносных программ, которое когда-либо было в Windows; это на дрожжах впереди всего остального.С Windows вы можете полностью доверять целостности вашей операционной системы.

    Вирусы загрузочного сектора — это вредоносные программы, которые находятся на вашем жестком диске. Они заражают вашу машину, заменяя основную загрузочную запись (MBR) или загрузочный сектор DOS своим кодом. В некоторых случаях вирусы загрузочного сектора шифруют MBR. Этот режим работы делает вирусы загрузочного сектора очень опасными.

    Что такое вирус загрузочного сектора?

    Главная загрузочная запись находится в первом секторе жесткого диска и выполняется при каждом включении компьютера. Это означает, что даже если вы попытаетесь удалить вирусы загрузочного сектора с помощью антивируса, они загрузятся обратно в память вашего компьютера при следующей загрузке.

    Эти вирусы, происходящие из вашего загрузочного сектора, затем распространяются на все диски вашего компьютера. Это затрудняет удаление вирусов из загрузочного сектора.

    Кроме того, если Windows работает, обычные антивирусные программы не будут иметь доступа к MBR. Однако вы можете использовать загрузочные антивирусные диски для удаления вирусов загрузочного сектора. В этом руководстве показано, как это сделать, а также другие способы навсегда избавить компьютер от вирусов в загрузочном секторе.

    Как предотвратить вирус загрузочного сектора

    Несмотря на то, что удалить вирусы из загрузочного сектора довольно сложно, в первую очередь легко избежать их заражения. Наиболее распространенный способ распространения этих вредоносных программ — через общие съемные носители.

    Прежде чем вставлять любой съемный накопитель в компьютер, убедитесь, что он не заражен вирусом загрузочного сектора. Вирус может не попасть на вашу машину при подключении носителя, но если вы оставите его подключенным во время загрузки системы, ваш жесткий диск будет заражен.

    • Для мониторинга вашей компьютерной системы на предмет вредоносной активности.
    • Обнаружение известных вредоносных действий и шаблонов в вашей компьютерной системе.
    • Выполните поиск вирусов и удалите их с системных дисков.

    В следующем разделе мы более подробно рассмотрим, как эти вирусы заражают вашу компьютерную систему.

    СОВЕТ. Вы можете защитить основную загрузочную запись вашего компьютера с помощью фильтра MBR.

    Как проникает вирус загрузочного сектора?

    Как мы уже подчеркивали, вирусы загрузочного сектора попадают на ваш компьютер в основном через физические носители. Однако они также могут загружаться в комплекте, особенно с ненадежных сайтов и вложений электронной почты.

    Когда вы подключаете зараженный USB-накопитель или дискету к компьютеру, вирус передается в вашу систему и заражает MBR. Он изменяет или полностью заменяет существующий код MBR, и при следующей загрузке вирус загружается в вашу систему и запускается с MBR.

    Что касается загрузки зараженных файлов и вложений электронной почты, вирусы загрузочного сектора остаются в основном безвредными при их загрузке. Однако когда вы открываете вредоносный файл, он начинает заражать хост-компьютер. Во многих случаях владелец мог закодировать для программы инструкции по размножению и созданию пакетов для отправки по электронной почте вашим контактам.

    К счастью, архитектура BIOS компьютера улучшилась, и это в значительной степени обуздало распространение вирусов загрузочного сектора. Эта разработка связана с включением опции, позволяющей пользователям блокировать коды от изменения первого сектора жестких дисков ПК.

    Если вы никогда не обновляли BIOS, самое время это сделать.

    Читайте: Как сделать резервную копию и восстановить главную загрузочную запись с помощью MBR Backup или MDHacker.

    Как удалить вирус загрузочного сектора

    Большинство вирусов загрузочного сектора могут шифровать MBR; ваш диск может быть серьезно поврежден, если вы не удалите вирус должным образом.

    С другой стороны, если вирус не шифрует MBR и только заражает загрузочный сектор, вы можете использовать команду DOS SYS для восстановления поврежденного сектора.

    Кроме того, вы также можете использовать команду DOS LABEL для восстановления затронутых меток томов. Если заражение серьезное и не подлежит восстановлению, вы можете заменить MBR с помощью команды FDISK/MBR.

    Несмотря на то, что все эти методы могут работать в некоторых случаях, использование бесплатного загрузочного антивирусного программного обеспечения является самым безопасным способом удаления вирусов из загрузочного сектора. Самое главное, с антивирусным программным обеспечением вы вряд ли потеряете файлы и данные, сохраненные на жестком диске.

    ВНИМАНИЕ: первый вирус MS-DOS для ПК был создан в 1986 году, и это был вирус Brain. Brain был вирусом загрузочного сектора и заражал только 360 000 дискет. Интересно, что хотя это был первый вирус, он обладал полной скрытностью. V-Sign был первым полиморфным вирусом загрузочного сектора.

    Дата: 23 октября 2020 г. Теги: вирус

    Похожие сообщения

    Что такое полиморфный вирус и как с ним бороться

    Как вы можете получить компьютерный вирус или вредоносное ПО?

    Какой вирус для Windows был первым? Какой антивирус был первым?

    [электронная почта защищена]

    Кеши Иле — опытный эксперт в области технологий со степенью бакалавра в области электроники и степенью магистра в области цифрового маркетинга. Он руководит несколькими интернет-компаниями и ведет блоги, посвященные технологиям.

    Читайте также: