WindowsはMBRを上書きから保護しますか?
私は読んだ TDL/Alureonルートキットに関する記事 :
GFIソフトウェアによって月曜日に公開された調査によると、最新のTDL4インストールは、信頼できる人によってデジタル署名されている場合にのみドライバーをインストールできるように設計されているOSのカーネルモードコード署名ポリシーをバイパスすることにより、64ビットバージョンのWindowsに侵入しますソース。ルートキットは、ハードドライブの腸内のマスターブートレコードに自身を添付し、マシンのブートオプションを変更することで、この偉業を達成します。
これは、WindowsがMBRの上書きを保護しないことを意味しますか?その後、管理者権限で実行されているマルウェア/ルートキットを含む任意のプログラムがMBRを上書きし、ドライバー署名の強制をバイパスすることはできますか?
説明ありがとうございます。
管理/ SYSTEMユーザーはシステムへの完全なアクセス権を持ち、ディスクパーティションなどに変更を加えることができます。また、MBRを変更して別のブートローダーを指すことができるツールがWindowsに存在します。ですから、いいえ、それを保護するものは何もありません。
この質問は、管理者特権で実行されている「任意のプログラム」がMBRを上書きする可能性があることを非常に重要なように思わせます。 SYSTEM特権を持つプロセスは、必要な処理をすべて実行できます。ただし、これは標準の脅威モデルです。他の誰かがあなたのコンピュータでコードを実行するなら、それはあなたのコンピュータではなくなっています。
MBRを変更から保護することは難しい作業です。しかし、OS Windowsローダーファイルが変更されたことをユーザーに警告する方法があります。
Windows 6.1以降、Require Signature CheckまたはINTEGRITYCHECKを使用する可能性が組み込まれています。このツールは、ファイルが変更されたかどうかをチェックし、OSのロードを妨げることさえできます。例えば。 EasyBCDソフトウェアを使用してゲストOSからWindowsローダーコードを編集する場合、次のロード中にこれらの変更について0xc0000428ステータスコードで通知されることがあります。
このセキュリティは、ローダーファイルだけでなく、カーネルモードコードを実装するすべてのDLL)にも適用できます。
このテクニックについての言及は、この book source でさらに詳しく調べることもできます。