Infection Des Secteurs D'Initialisation


  Share  
|

Comprenons le but d'un secteur d'initialisation et des raisons pour lesquelles un virus pourrait vouloir l'infecter, examinent les étapes principales impliquées en chargeant un logiciel d'exploitation de la commande dure. Comment l'ordinateur sait-il quels programmes à lancer pendant l'initialisation chronométrez ? Après tout, les dossiers qui doivent être exécutés pour commencer Windows.xp pour différer à partir des dossiers qui lancent Linux ou ceux qui initialisent Solaris ou Windows 98. D'ailleurs, selon la disposition du disque, ces programmes pourraient être stockés dans différents endroits sur le disque. Pour adapter à de divers logiciels d'exploitation et configurations de disque, les PCS se fondent sur des zones de disque consacrées appelées les secteurs d'initialisation pour guider la machine par l'ordre de initialisation-up.

Quand vous mettez en marche un PC, il exécute d'abord un ensemble d'instructions qui initialisent le matériel et permettent au système d'initialiser. Le code qui met en application ces actions fait partie du programme de BIOS qui est inclus dans les morceaux de la machine par le fabricant. Le BIOS lui-même est créé pour être aussi générique comme possible, et ne sait pas charger un logiciel d'exploitation particulier. De cette façon, une machine avec juste un BIOS peut être employée pour différents différents logiciels d'exploitation. Puisque le BIOS ne sait pas charger le logiciel d'exploitation, il localise le premier secteur sur la première commande dure, et exécute un petit programme stocké là appelé le disque principal d'initialisation (MBR). Parfois les gens se réfèrent au secteur physique sur le disque qui stocke des données de MBR comme secteur principal d'initialisation.

Le MBR ne sait pas charger le logiciel d'exploitation l'un ou l'autre. C'est parce que le PC peut avoir les cloisons multiples et les logiciels d'exploitation installés, chacun avec ses propres conditions de mise en train. Le code qui fait partie du MBR sait comment énumérer les cloisons disponibles, et transférer la commande au secteur d'initialisation de la cloison désirée. Le secteur d'initialisation placé dans le commencement de chaque cloison s'appelle convenablement le secteur d'initialisation de cloison (PBS). D'autres limites parfois à se rapportaient au PBS sont le secteur d'initialisation de volume et le disque d'initialisation de volume. Le programme inclus dans le PBS localise les dossiers de démarrage du logiciel d'exploitation et leur passe la main du processus de initialisation-up.

Des virus qui tirent profit de la nature exécutable du contenu de MBR et de PBS et s'attachent à un des secteurs d'initialisation s'appellent les virus de secteur d'initialisation. Un PC atteint d'un virus de secteur d'initialisation exécutera le code du virus quand la machine initialise.

Le virus de Michaël Angelo, découvert en 1991, est un virus typique de secteur d'initialisation qui est bien connu principalement en raison de la frénésie de médias qui a entouré sa date de déclenchement en 1992. La charge utile de Michaël Angelo était fortement destructive—il a été programmée pour recouvrir des secteurs de la commande dure si l'ordinateur infecté initialisait sur l'anniversaire du grand artiste de la Renaissance (mars 6). Je me demande quel Michaël Angelo lui-même aurait pensé à cet "hommage" mis en application dans le logiciel hostile. Bien que la plupart des sorties de nouvelles aient alors prévu que des millions de PCS seraient affectés, quelque part autour 10.000 et 20.000 ordinateurs ont été frappés réellement quand le grand jour est venu. Ce n'était pas tout à fait la catastrophe que le public s'attendait, mais quelques personnes cette date ont eu un jour très mauvais.

Quand Michaël Angelo a infecté une commande dure, elle a déplacé le contenu du MBR original à un autre endroit sur le disque et s'est placée dans le MBR. La prochaine fois que le PC a démarré vers le haut, le BIOS exécuterait le code de Michaël Angelo, qui chargerait le virus dans la mémoire. Michaël Angelo passerait alors la main au-dessus de à la copie du MBR original pour continuer le processus d'initialisation, à moins que c'ait été mars 6, naturellement. Ce jour, Michaël Angelo arroserait complètement la commande dure.

En plus des commandes dures d'infection, Michaël Angelo pourrait également attacher aux secteurs d'initialisation des disquettes. Sans ces capacités, les virus purs de secteur d'initialisation auraient un moment difficile écarter d'une machine à l'autre, parce qu'ils ne peuvent pas infecter les dossiers exécutables, et peuplent rarement les commandes dures d'échange. Un disque souple a seulement une cloison simple, et ne possède pas un MBR. Au lieu de cela, quand le BIOS de l'ordinateur initialise à partir d'une disquette, il localise le secteur de l'initialisation de la disquette, qui alternativement, des charges le logiciel d'exploitation.

Une fois que Michaël Angelo courait sur un PC, il s'attacherait automatiquement au secteur d'initialisation de chaque disque souple inséré dans l'ordinateur. Le virus pouvait accomplir ceci en raison de sa capacité de se charger dans la mémoire par la fixation aux conducteurs de bas niveau de BIOS et de rester actif après que le logiciel d'exploitation ait commencé vers le haut. Des spécimens qui peuvent demeurer dans la RAM de l'ordinateur infecté s'appellent les virus résidants en mémoire. Cette propriété peut être attribuée à un virus indépendamment de si sa cible primaire est un secteur d'initialisation ou un dossier exécutable. Les virus qui ne sont pas résidants en mémoire s'appellent parfois les virus d'diriger-action qu'—ils sont des créatures du moment qui agissent quand leur centre serveur est exécuté et ne s'attardent pas.

Les bonnes nouvelles sont que l'efficacité des virus résidants en mémoire de secteur d'initialisation est sévèrement diminuée dans Windows NT et les versions suivantes de Microsoft Windows (2000, XP, et 2003 jusqu'ici). Ces logiciels d'exploitation ne se fondent plus sur le BIOS pour l'accès de bas niveau aux disques locaux. En conséquence, même si le secteur de l'initialisation du PC est infecté et le virus se charge dans la mémoire, le code du virus sera ignoré une fois que Windows commence vers le haut. Le virus obtient chargé, mais n'obtient pas une chance de se gribouiller sur de nouveaux disques souples ou commandes dures tandis que le logiciel d'exploitation est dans la commande. Ceci signifie que le virus ne pourra pas attacher à de nouvelles cibles tandis que Windows fonctionne. D'autre part, le virus peut immobile activer sa charge utile avant des charges de Windows, endommageant potentiellement tandis que le PC exécute des instructions malveillantes dans le secteur d'initialisation.

Nous devrions noter, bien que, que les ordinateurs de Windows qui emploient NTFS sur la cloison de système pourraient se briser si son PBS devient infecté. C'est parce que, sur les commandes dures NTFS-composées, Windows place des instructions spéciales dans les secteurs juste après les PBS qui assistent charger le logiciel d'exploitation. Un virus pourrait recouvrir ces instructions tout en attachant au PBS, empêchant Windows de savoir commencer correctement vers le haut, et de faire briser l'ordinateur.

Nous avons vu les techniques primaires que les virus utilisent pour infecter les dossiers exécutables et pour initialiser des secteurs, mais tels ne sont pas les seuls mécanismes que ces microbes pathogènes utilisent. Au delà des executables et des secteurs d'initialisation, d'autres cibles populaires des virus d'ordinateur sont des dossiers de document qui ont la capacité de porter le code exécutable.

c'est un article supplémentaire par Levi D. Johnson


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions