Sāknēšanas sektora vīruss ir noteikta veida vīruss, kas nosaukts pēc atrašanās vietas, kurā to var atrast. Tas būtu diskešu sāknēšanas sektors vai modernāku cieto disku galvenais sāknēšanas ieraksts. Dažos gadījumos tie var inficēt minēto cieto disku sāknēšanas sektoru, nevis MBR.
Kods, kas veido vīrusu, tiek palaists, kad tiek palaists viss, kas atrodas diskā vai diskdzinī. Citiem vārdiem sakot, ja lietotājs mēģina pievienot un izmantot inficētu cieto disku, viņš palaiž vīrusu. Pēc ielādes gandrīz visi šie vīrusi pārkopēsies uz citiem pieejamiem un saderīgiem diskiem un diskdziņiem, tādēļ, ja datorā bija ievietotas četras tīras disketes, un tika pievienots un izmantots piektais inficētais disks, visticamāk, beigsies visi pieci inficēts.
Ko dara sāknēšanas sektora vīrusi?
To ievietošanas veida un atrašanās vietas dēļ sāknēšanas sektora vīrusi tiek izpildīti, kad ierīce, kurā tie atrodas, tiek palaista vai pievienota un ieslēgta. Tās ir BIOS līmeņa infekcijas, kas nozīmē, ka tām nav nepieciešama īpaša lietotāja mijiedarbība (
piemēram, atverot e-pastu vai noklikšķinot uz viltīgas vietnes saites), lai ietekmētu sistēmu.Negatīvā puse ir tāda, ka viņi paļaujas uz DOS komandām, lai izplatītos. DOS nav izmantota kopš Windows 95 izlaišanas, un šajā brīdī sāknēšanas sektora vīrusu izmantošana strauji samazinājās, jo tie vairs nedarbojās. Sākotnējie sāknēšanas sektora vīrusi būtu pilnīgi nekaitīgi modernā datorā, kas neizmanto/saprot DOS komandas – tomēr vīrusa tips saglabājas jaunā variantā.
Mūsdienu sāknēšanas sektora vīrusi
Mūsdienu ekvivalentu bieži sauc par "sāknēšanas komplektu", kas ieraksta sevi MBR vai galvenajā sāknēšanas ierakstā. Tādā veidā viņi panāk tādu pašu efektu kā palaišana sāknēšanas procesa sākumā. Tas ļauj viņiem slēpt gan savu klātbūtni, gan to, ko viņi dara aiz citiem procesiem, un atkal nav nepieciešama lietotāja mijiedarbība, izņemot iekārtas palaišanu.
Sāknēšanas komplekti nav saderīgi ar noņemamiem datu nesējiem – citiem vārdiem sakot, kamēr sākotnējie sāknēšanas sektora vīrusi plauka uz disketēm, sāknēšanas komplekti tā nedarbojas. Tie nevarēja, piemēram, inficēt USB zibatmiņu – lai gan tās var glabāt un pārsūtīt vienā, tās neaktivizētos. Citi vīrusi var tikt izpildīti no noņemamiem datu nesējiem, piemēram, diskdziņiem, bet sāknēšanas komplekti to nevar izpildīt.
Kā izskatās sāknēšanas sektora vīruss?
Tāpat kā jebkura vīrusa gadījumā, tas, kā tas izskatās, ir atkarīgs gan no tā, kurš to ir izveidojis, gan no tā, kāda mērķa sasniegšanai tas ir paredzēts. Sāknēšanas sektoram vienmēr ir jābūt attiecīgi 0x55 un 0xAA kā pēdējiem diviem datu baitiem. Bez tiem dators vai nu atteiksies pilnībā palaist, vai vismaz parādīs kļūdas ziņojumu. Šis kļūdas ziņojums vai atteikums palaist var būt viens no vairākiem sāknēšanas sektora vīrusa indikatoriem, lai gan tas nesniedz nekādu īpašu nojausmu par vīrusa darbību.
Kā identificēt sāknēšanas sektora vīrusu
Sāknēšanas sektora vīrusu var identificēt divos dažādos veidos. Pirmkārt, ar savu rīcību. Sāknēšanas sektora vīruss sāknēšanas laikā inficē to datu nesēja daļu, ko ielādē BIOS. Tas arī aktīvi inficē visus citus datu nesējus, kas pievienoti inficētajam datoram. Ir vērts atcerēties, ka mūsdienu sāknēšanas komplekti darbojas nedaudz atšķirīgi un automātiski neinficē ierīces. Otrs veids, kā identificēt sāknēšanas sektora vīrusu, ir pretvīrusu programmatūra.
Piezīme: Sāknēšanas sektora vīrusi būtībā ir novecojuši, paļaujoties uz DOS laikmeta tehnoloģiju. Šīs operētājsistēmas, īpaši mantotās sistēmas, visticamāk, tiks izmantotas minimāli. Tagad būtu grūti atrast pretvīrusu produktu, kas varētu darboties šādā operētājsistēmā. Turklāt, lai gan, visticamāk, neviens nav apgrūtināts ar jaunu sāknēšanas sektora vīrusu radīšanu, ja tādi ir ir izlaistas, tie var nebūt atbilstoši klasificēti, lai tos atklātu, ja atrodat pretvīrusu programmu palaist.
Kā atbrīvoties no sāknēšanas sektora vīrusa
Pretvīrusu produktam jāspēj salīdzinoši ātri atbrīvoties no sāknēšanas sektora vīrusa. Tomēr tiek pieņemts, ka jūs varat atrast pretvīrusu produktu, kas darbojas tik novecojušā sistēmā un var atklāt vīrusu. Mūsdienīgākus sāknēšanas komplektus var būt ārkārtīgi grūti noteikt un noņemt, jo tie inficē atmiņas apgabalus, kas parasti ir ierobežoti. Abus var novērst, pilnībā pārformatējot disku. Šis process tomēr noslauka visi datus uz diska, un tāpēc tas nav ideāls.
Teorētiski ir arī iespējams, ka sāknēšanas komplekts var inficēt pašu mātesplati, īpaši UEFI BIOS. Šajā gadījumā problēma jāatrisina, atkārtoti pārslēdzot mātesplati, taču, ja vīruss saglabājas citur, tas var arī nenotikt. It īpaši, ja vīruss varētu atkārtoti inficēt attēlu, kuram tika pievienota mātesplate. 100% drošs veids, kā novērst jebkuru vīrusu, ir izmest inficēto komponentu. Tas ir jūsu cietais disks, mātesplate utt., Ne vienmēr viss dators.
Secinājums
Sāknēšanas sektora vīruss ir klasisks DOS laikmeta veids. Viņi inficēja datu nesēja sāknēšanas sektoru un aktīvi inficēja jebkura cita pieejamā datu nesēja sāknēšanas sektoru. Sāknēšanas sektors bija tā atmiņas ierīces daļa, ko vispirms ielādēja BIOS. Tādējādi ļaunprogrammatūra tika nekavējoties palaista.
Tā kā viņi paļāvās uz BIOS un DOS komandām, tie izmira, kad tika ieviesta sistēma Windows. Mūsdienu versija ir pazīstama kā sāknēšanas komplekts. Tas darbojas līdzīgi, inficējot sāknēšanas ielādētāju, kas izsauc operētājsistēmu. Tas apgrūtina to atklāšanu vai noņemšanu, jo mūsdienu drošības pasākumi aizsargā sāknēšanas ielādētāju no vieglas piekļuves.