Infecting Setores Do Carregador


  Share  
|

Para compreender a finalidade de um setor do carregador e das razões porque um vírus pôde querer infect o, deixe-nos examinam as etapas chaves envolvidas em carregar um sistema operando-se da movimentação dura. Como o computador sabe que programas a se lançar durante o carregador cronometre? Apesar de tudo, as limas que necessitam ser executadas para começar Windows.xp diferir das limas que lançam Linux ou aquelas que inicializam Solaris ou Windows 98. Além disso, dependendo da disposição do disco, estes programas puderam ser armazenados em posições diferentes no disco. Para acomodar vários sistemas operando-se e configurações do disco, os PCES confiam nas áreas de disco dedicadas chamadas setores do carregador para guiar a máquina com a seqüência do carregador-acima.

Quando você gira sobre um PC, executa primeiramente um jogo das instruções que inicializam a ferragem e permitem que o sistema carregue. O código que executa estas ações é parte do programa do BIOS que é encaixado nas microplaquetas da máquina pelo fabricante. O BIOS próprio é criado para ser tão genérico como possível, e não sabe carregar um sistema operando-se particular. Essa maneira, uma máquina com apenas um BIOS pode ser usada para vários sistemas operando-se diferentes. Porque o BIOS não sabe carregar o sistema se operando, encontra o primeiro setor na primeira movimentação dura, e executa um programa pequeno armazenado chamado lá o registro mestre do carregador (MBR). Às vezes os povos consultam ao setor físico no disco que armazena dados de MBR como o setor mestre do carregador.

O MBR não sabe carregar o sistema operando-se qualquer um. Isto é porque o PC pode ter os sistemas múltiplos das divisórias e se operar instalados, cada um com suas próprias exigências do start-up. O código que é parte do MBR sabe como enumerate divisórias disponíveis, e transferir o controle ao setor do carregador da divisória desejada. O setor do carregador colocado no começo de cada divisória é chamado apropriadamente o setor do carregador da divisória (PBS). Outros termos usados às vezes consultar ao PBS são o setor do carregador do volume e o registro do carregador do volume. O programa encaixado no PBS encontra a partida de sistema operando-se arquiva-lhe e passa- o controle do processo do carregador-acima.

Os vírus que fazem exame da vantagem da natureza executável de índices de MBR e de PBS e se unem a um dos setores do carregador são chamados vírus do setor do carregador. Um PC infected com um vírus do setor do carregador executará o código do vírus quando os carregadores da máquina acima.

O vírus de Michelangelo, descoberto em 1991, é um vírus típico do setor do carregador que seja sabido bem principalmente por causa do frenzy dos meios que cercou sua data do disparador em 1992. O payload de Michelangelo era altamente destrutivo—ele foi programado para overwrite setores da movimentação dura se o computador infected carregado acima no aniversário do artista grande do renascimento (março 6). Eu quero saber que Michelangelo ele mesmo pensaria sobre este "tributo" executado no software hostil. Embora a maioria de tomadas da notícia predissessem naquele tempo que os milhões dos PCES estariam afetados, em algum lugar ao redor 10.000 e 20.000 computadores foram golpeados realmente quando o dia grande veio. Este não era completamente o catastrophe que o público esperava, mas alguns povos nessa data tiveram um dia muito mau.

Quando Michelangelo infected uma movimentação dura, moveu os índices do MBR original para uma outra posição no disco e colocou-se no MBR. A próxima vez que o PC começou acima, o BIOS executaria o código de Michelangelo, que carregaria o vírus na memória. Michelangelo passaria então o controle sobre à cópia do MBR original para continuar com o processo do carregador, a menos que fosse março 6, naturalmente. Nesse dia, Michelangelo hose completamente a movimentação dura.

Além às movimentações duras infecting, Michelangelo poderia também unir aos setores do carregador de discos flexíveis. Sem esta abilidade, os vírus puros do setor do carregador teriam uma estadia dura espalhar de uma máquina a outra, porque não podem infect limas executáveis, e povoam raramente movimentações duras da troca. Um disco flexível tem somente uma única divisória, e não possui um MBR. Instead, quando os carregadores do BIOS do computador de um disco flexível, ele encontrarem o setor do carregador do diskette, que por sua vez, cargas o sistema operando-se.

Uma vez que Michelangelo estava funcionando em um PC, unir-se-ia automaticamente ao setor do carregador de cada disco flexível introduzido no computador. O vírus podia realizar isto por causa de sua abilidade de carregar-se na memória unindo aos excitadores de baixo nível do BIOS e de remanescer ativo depois que o sistema se operando começou acima. Os espécimes que podem remanescer na RAM do computador infected são chamados vírus memory-resident. Esta propriedade pode ser atribuída a um vírus não obstante se seu alvo preliminar é um setor do carregador ou uma lima executável. Os vírus que não são memory-resident são chamados às vezes vírus que da dirij-ação—são as criaturas do momento que agem quando seu anfitrião é executado e não linger.

A notícia boa é que a eficácia de vírus memory-resident do setor do carregador está diminuída severamente em Windows NT e nas versões subseqüentes de Microsoft Windows (2000, XP, e 2003 assim distante). Estes sistemas operando-se confiam não mais por muito tempo no BIOS para o acesso de baixo nível aos discos locais. Em conseqüência, nivele se o setor do carregador do PC infected e o vírus se carregar na memória, o código do vírus será ignorado uma vez que Windows começa acima. O vírus começa carregado, mas não começa uma possibilidade rabiscar-se em discos flexíveis novos ou em movimentações duras quando o sistema se operando estiver no controle. Isto significa que o vírus não poderá unir aos alvos novos quando Windows funcionar. Na outra mão, o vírus pode imóvel ativar seu payload antes das cargas de Windows, causando potencial os danos quando o PC executar instruções maliciosas no setor do carregador.

Nós devemos anotar, embora, que os computadores de Windows que usam NTFS na divisória do sistema puderam deixar de funcionar se seu PBS se tornar infected. Isto é porque, em movimentações duras NTFS-formatadas, Windows coloca instruções especiais nos setores imediatamente depois dos PBS que ajudam com carregamento do sistema se operando. Um vírus pôde overwrite estas instruções ao unir ao PBS, impedindo Windows saiba começar corretamente acima, e faça com que o computador deixe de funcionar.

Nós vimos as técnicas preliminares que os vírus empregam para infect limas executáveis e setores do carregador, mas aqueles não são os únicos mecanismos que estes pathogens empregam. Além dos executables e dos setores do carregador, outros alvos populares de vírus do computador são as limas de original que têm a abilidade de carregar o código executável.

este é um artigo adicionado por Levi D. Johnson


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions