Hirdetés
. Hirdetés

Veszélyes támadásoktól védi meg a Windowst egy ingyenes eszköz

|

A rendszer vezérlőprogramként funkcionáló eszköz blokkolja a zsarolóvírusokat és más rosszindulatú programokat, így nem tudnak kártékony kódot beilleszteni a mester boot rekordba.

Hirdetés

A Cisco cég Talos csapata fejlesztette ki az MBRFilter elnevezésű, nyílt forráskódú eszközt, amely megakadályozza a mester boot rekord módosítását azáltal, hogy a merevlemez nulladik szektorát csak olvasható állapotba hozza. Mind a 32 bites, mind a 64 bites Windows-változatokon futtatható, forráskódját a GitHubon tették közzé.

A mester boot rekord (MBR) végrehajtható kódot tárol a merevlemez-meghajtó első (nulladik jelű) szektorában, amely elindítja az operációs rendszert betöltő szoftvert (bootloadert). Ugyancsak tartalmaz információkat a lemezpartíciókról és a használt fájlrendszerről.

Mivel az MBR kód még az operációs rendszer elindulása előtt végrehajtódik, módosításával a rosszindulatú programok képesek elrejteni magukat a szintén később induló antivírus programok elől. Az MBR-t megfertőző vírusok bootkit néven ismertek, a Microsoft korábban a bootloader kriptografikus hitelesítésének bevezetésével vette fel a harcot a bootkitek ellen a Windows 8-as és későbbi változataiban. A Secure Boot elnevezésű funkció a Unified Extensible Firmware Interface-en (UEFI), a modern BIOS-on alapszik.

Problémát jelent azonban, hogy a Secure Boot nem működik minden számítógépen és Windows-verzióban, így még mindig rengeteg PC sebezhető az MBR támadásokkal szemben. Jól tudják ezt a zsarolóprogramok írói is, akik kihasználják ezt a sérülékenységet. Így például a márciusban megjelent Petya zsarolóvírus rosszindulatú kóddal cseréli fel az MBR-t, amely titkosítja az operációs rendszernek otthont adó partíció mester fájltábláját (MFT), amikor a számítógépet újraindítják.

Az NTFS partíciók speciális MFT fájlja tartalmazza minden egyes fájl adatait és a lemezszektorokban való elhelyezkedésüket. Titkosítása használhatatlanná teszi a teljes rendszerpartíciót és ezzel a számítógépet is.

Ugyancsak az MBR-t támadja a Satana zsarolóvírus, amely nem az MFT-t, hanem az eredeti MBR kódot titkosítja, majd felváltja saját kódjával, amely aztán megjeleníti a képernyőn a váltságdíjat kérő üzenetet.

Ezeket a rosszindulatú változtatásokat akadályozza meg az MBRFilter, amely blokkolja a nulladik szektorba irányuló írási kísérleteket a rendszerben lévő összes merevlemez esetében. Telepítése után csak a Windows csökkentett módjában lehet módosítani a meghajtók nulladik szektorát.

Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.