自由工具保护PC从主引导记录攻击

思科系统“Talos团队开发了一个开源工具，可以保护Windows计算机的主引导记录从赎金软件和其他恶意攻击的修改。

该工具称为MBRFilter，用作符号系统驱动程序，并将磁盘的扇区0放入只读状态。它适用于32位和64位Windows版本，其源代码已在Github上发布。

主引导记录（MBR）由可执行代码组成，即“存储在硬盘驱动器的第一个扇区（扇区0）中并启动操作系统的引导加载程序。MBR还包含有关磁盘的分区及其文件系统的信息。

由于MBR代码在OS本身之前执行，因此可以通过恶意软件程序滥用，以增加其持久性并在防病毒程序之前启动头部。感染MBR的恶意软件程序从历史上被称为Bootkits - 引导级rootkits。

Microsoft通过在Windows 8及更高版本中实现引导加载程序的加密验证来解决BOOTKIT问题。此功能称为安全启动，并基于统一的可扩展固件接口（UEFI） - 现代化BIOS。

问题是安全启动不适用于所有计算机和所有Windows版本，并且不支持所有计算机分区磁盘。这意味着在那里仍有大量的计算机，其中没有受益于它并仍然容易受到MBR攻击的影响。

最近，赎金软件作者还了解侵犯MBR攻击的可能性。例如，3月份出现的Petya Ransomware将MBR替换了MBR，恶意代码将计算机分区重新启动计算机分区的主文件表（MFT）。

MFT是NTFS分区上的特殊文件，其中包含有关其他每个文件的信息：它们的名称，大小和映射到硬盘扇区。加密MFT使整个系统分区无法使用，并阻止用户能够使用其计算机。

第二个赎金软件程序，用于针对MBR并出现今年的称为Satana。它不会加密MFT，但是加密原始的MBR代码本身，并用自己的代码替换它，该代码显示赎金票据。

修改MBR的第三个赎金软件程序，以防止计算机从引导被称为HDDCRYPTER，一些研究人员认为它会预测Petya和Satana。

“MBRFilter是一个简单的磁盘过滤器，基于Microsoft的DiskPerf和ClassPNP示例驱动程序，”Cisco Talos研究人员在博客文章中表示。“它可用于防止恶意软件在连接到系统的所有磁盘设备上写入扇区0。一旦安装，将需要将系统引导到安全模式下，以便磁盘的扇区0变为可访问的修改。“