¿Windows protege el MBR para que no se sobrescriba?

Question

¿Windows protege el MBR para que no se sobrescriba?

#1 de multithr3at3d (1 votos)
#2 de Max Bender (1 votos)

2

He leído artículo sobre TDL / Alureon Rootkit :

Según una investigación publicada el lunes por GFI Software, la última instalación de TDL4 se adentra en las versiones de Windows de 64 bits al saltear la política de firma de código en modo kernel del sistema operativo, que está diseñada para permitir que los controladores se instalen solo cuando han sido firmados digitalmente por una fuente de confianza. El rootkit logra esta hazaña adjuntándose al registro de arranque maestro en los intestinos de un disco duro y cambiando las opciones de arranque de la máquina.

¿Esto significa que Windows no protege a MBR de que se sobrescriba? ¿Puede cualquier programa, incluido malware / rootkit, ejecutarse con privilegios de administrador simplemente sobrescribir MBR y simplemente omitir la aplicación de firmas de controladores?

Gracias por cualquier explicación.

rootkits

pregunta som3us3r 25.04.2018 - 22:50

fuente

2 respuestas

Lea otras preguntas en las etiquetas rootkits

¿Mi dirección de correo electrónico (Chrome) está disponible para los sitios web cuando inicio sesión en Chrome? UFW parece bloquear las conexiones desde una dirección remota, pero NAT está deshabilitado en mi enrutador

score 1 · Answer 1

Un usuario administrativo / SISTEMA tiene acceso completo al sistema y puede realizar cambios en las particiones del disco, etc. Además, existen herramientas para Windows que pueden modificar el MBR para que apunte a un cargador de arranque diferente. Así que yo diría que no, no hay nada que lo proteja.

La pregunta hace que parezca una gran cosa que "cualquier programa" que se ejecute con privilegios de administrador puede sobrescribir el MBR. Un proceso con privilegios de SISTEMA puede hacer lo que quiera. Sin embargo, ese es el modelo estándar de amenaza; si alguien más ejecuta el código en su computadora, ya no es su computadora.

score 1 · Answer 2

Defender el MBR de los cambios puede ser una tarea difícil. Pero hay una manera de advertir al usuario que se ha modificado el archivo del cargador de Windows del sistema operativo.

A partir de Windows 6.1 hay una posibilidad integrada de usar Require Signature Check o INTEGRITYCHECK . Esta herramienta puede verificar si el archivo fue modificado e incluso evitar la carga del sistema operativo. P.ej. Si usaría el software EasyBCD para editar el código del cargador de Windows desde un sistema operativo invitado, se le notificará sobre esos cambios durante la próxima carga con el código de estado 0xc0000428.

Estaseguridadpuedeaplicarsenosoloalosarchivosdeuncargador,sinoacualquierDLLqueimplementecódigodemodokernel.

Lamenciónsobreestatécnicatambiénsepuedeinvestigarconmásdetalleeneste