Virus: Settore Infectors (BSIs) Del Caricamento del sistema

Share

|

Questi virus di PC-specifico infettano l'annotazione matrice dell'annotazione del caricamento del sistema e/o del caricamento del sistema del DOS. Contemporaneamente, questi virus hanno rappresentato la maggior parte degli avvenimenti segnalati, ma ora costituiscono una proporzione di diminuzione del numero totale di minacce trovate nel selvaggio e nuovo BSIs è qualcosa di un rarity. Ciò potrebbe riflettere il fatto che la gente ora sempre più usa il email e le reti piuttosto che i dischetti per scambiare le lime. Il fatto che questi sono più duri da scrivere che i virus a macroistruzione ed i virus scripting (o persino i virus della lima) è inoltre relativo.

Quando i caricamenti del sistema moderni del pc in su, esso passa con un processo denominato autoverifica dell'Power On (ALBERINO). Questa fase del processo del caricamento del sistema include il controllo dei componenti di fissaggi. Alcune delle relative informazioni vengono dalle informazioni memorizzate nel CMOS, particolarmente le informazioni concernente il disc e tipo e configurazione di memoria. Se le regolazioni di CMOS non abbinano la geometria reale dell'azionamento, la macchina non potrà trovare le zone e le lime del sistema in cui dovrebbero essere e non riuscirà a rifinire il processo del caricamento del sistema.

L'annotazione matrice del caricamento del sistema (MBR), a volte conosciuta come il settore del divisorio, è trovata soltanto sui dischi rigidi, in cui è sempre il primo settore fisico. Contiene le informazioni essenziali sul disc, dante l'indirizzo cominciante del partition(s) in cui è diviso. Sui dischetti, che non possono essere divisi e non contengono un MBR, il primo settore fisico è l'annotazione del caricamento del sistema o il DBR. Sugli azionamenti duri, l'annotazione del caricamento del sistema è il primo settore su un divisorio. L'annotazione del caricamento del sistema contiene un programma di cui il lavoro deve controllare che il disc sia bootable e, in caso affermativo, cosegnare controllo al sistema operativo.

Per difetto, se ci è un presente del disco magnetico bootable, la maggior parte dei pc caricheranno il sistema da azionamento A, il primo azionamento floscio, piuttosto che da azionamento la C, il primo azionamento duro. Ciò è realmente un difetto sfavorevole perché questo è il punto di entrata normale per un virus del settore del caricamento del sistema. Se il pc tenta di caricare il sistema da un disco magnetico con un settore infettato del caricamento del sistema (anche se il disco magnetico non contiene le lime necessarie per caricare un sistema operativo e quindi non può realizzare il processo del caricamento del sistema), il disco magnetico infettato infetterà l'azionamento duro. Tipicamente (anche se non invariabilmente), una volta che l'azionamento duro è infettato, il virus infetterà tutti i dischi magnetici scriv-permessi.

Nota

Potreste sentirsi che i virus del settore del caricamento del sistema possono disinfettarsi senza software del anti-virus, usando FDISK con l'interruttore non documentato di a (in gran parte) (/MBR), conosciuto in alcuni quarti come FDISK/MUMBLE. Le buone notizie sono che questa funziona molto il tempo. Le notizie difettose sono che, se le provate con il virus errato, potete realmente perdere l'accesso ai vostri dati. il software del Anti-virus è una tecnologia molto imperfetta, ma è quasi invariabilmente migliore e più sicuro per la rimozione dei virus che i programmi di utilità per tutti gli usi che non sono stati progettati mai per quello scopo. FDISK non è suggerito come misura del anti-virus a meno che conosciate esattamente che cosa state facendo.

La maggior parte dei virus del settore del caricamento del sistema inoltre contiene una certa misura per immagazzinare il codice originale del settore del caricamento del sistema altrove sull'azionamento. Ci è un buon motivo per questo. Non è perché il programmatore del virus intende gentilmente finalmente restituire il MBR al relativo originale dichiara, anche se mantenere una copia del settore originale del caricamento del sistema può rendere disinfettando il virus più facile. Piuttosto, è perché deve. Tipicamente, un virus manterrà una copia dell'annotazione originale del caricamento del sistema e la offrirà ogni volta che altri processi la chiedono. Ciò permette non soltanto al sistema di caricare il sistema in primo luogo, ma anche alle marche esso per rilevare più duro il virus senza software del anti-virus che specificamente lo riconosce. Tuttavia, alcuni virus sostituiscono semplicemente il codice normale del settore del caricamento del sistema con il codice dei loro propri.

Un certo BSIs (forma è un esempio particolarmente ben noto e diffuso) infetta soltanto l'annotazione del caricamento del sistema, anche sui dischi rigidi. Ciò genera i problemi particolari con Windows NT e Windows 2000 e solitamente impedirà il sistema il caricamento del sistema affatto. Così un virus in gran parte innocuo si è transformato in improvvisamente in un fastidio importante in alcuni ambienti.

Punta

I nuovi virus del settore del caricamento del sistema sono comparativamente rari. Tuttavia, persino i favoriti anziani come la forma ancora circolano fra la gente che ancora scambia i disc. Anche se il software stimabile ed aggiornato del anti-virus è ancora la a deve per la rilevazione loro, una precauzione semplice elimina la maggior parte del rischio di infezione sulla maggior parte dei pc, anche da BSIs sconosciuto. La maggior parte dei pc, per difetto, tenteranno di caricare il sistema da azionamento A se ci è un dischetto là. Se ci non è, prova a caricare il sistema da azionamento C. Tuttavia, quasi tutti i pc possono essere modificati nel CMOS per cambiare questo difetto. Sulla maggior parte dei sistemi, questo è fatto modificando l'ordine del caricamento del sistema, di modo che il sistema prova sempre a caricare il sistema da azionamento C in primo luogo (o nell'azionamento di CD di ordine, guidi la C, l'azionamento A). Altri sistemi (considerevolmente alcuni modelli di Compaq) permettono che la regolazione di un'opzione inabiliti il booting dall'azionamento floscio complessivamente. Se l'utente del sistema realmente deve caricare il sistema dal disco magnetico, questo coinvolge semplicemente ripristinare l'opzione al difetto. I fornitori del sistema del pc e della cartolina base usano i sensi riservati di regolazione delle opzioni di CMOS. Consulti la documentazione che è venuto con il vostro sistema. Si noti che "i virus del caricamento del sistema e della lima" (multipartite) sono meno probabili essere contenuti da questa precauzione.