首先來認識下 什麼是主引導區
主引導扇區位於整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR (Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區爲引導分區,並在程序結束時把該分區的啓動程序(也就是操作系統引導扇區)調入內存加以執行。
只要控制了該區域,那程序就能控制操作系統!
修改主引導區進行加載、感染的在上世紀80- 90年代較爲流行,當年的反病毒軟件很多都是磁盤介質的,而其中一個必不可少的功能,就是能寫保護軟盤然後用它引導啓動電腦,在不帶毒的情況下清除此類引 導型的病毒。應該說早期的病毒技術含量還是比較高的,到了後期越來越多工具的出現,讓只要會上網的人都能產生成百上千的各種惡意程序、病毒變種。值得注意 的是利用修改覆蓋主引導區進行加載的Rootkit後門現世了。
在2005和2007年有研究人員推出過兩個修改主引導區的實驗型Rootkit,而07年的這個實驗型Rootkit甚至能突破安全性較高的全補丁Vista系統。
由於WINDOWS系統設計上的問題,普通權限的用戶帳號可以隨意讀寫硬盤,甚至MBR這些重要的位置而不受到任何限制。因此MBR類Rootkit對系統的危害是十分大的。
有些類型的主板BIOS自帶一個反病毒功能,就是防止讀寫主引導區的,隨着這類真正具有危害的MBR Rootkit的出現,也許現在大家應該在BIOS裏打開這種保護選項了。
根據Symantec(賽門鐵克)的報告,這個Rootkit被命名爲Trojan.Mebroot 能在全補丁的XP系統下順利感染並加載運行。同時因爲MBR的特性,Rootkit在加載後是無法清除的,必須用其他如PE光盤系統或XP安裝光盤的修復 模式下用Fix mbr指令來修復主引導區,才能清除木馬。