恶意软件
引导扇区病毒
别称: MBR 病毒, VBR 病毒
定义
感染磁盘引导扇区或主引导记录的病毒,在操作系统加载之前运行。
引导扇区病毒会替换或修改存储设备的主引导记录(MBR)、卷引导记录(VBR)或分区表中的代码。由于这段代码在系统启动时执行,病毒可在操作系统之前获得执行权,从而拦截 I/O、隐藏自身并加载更多载荷。历史上它们通过受感染的软盘传播,后来则通过 USB 设备。现代的等价物被称为 Bootkit,针对 MBR/VBR 或 UEFI 启动阶段。常见防御措施包括 Secure Boot、带有可测量启动的 UEFI、对启动介质的写保护、对可移动介质禁用自动播放、带启动完整性校验的全盘加密,以及对启动组件的完整性验证。
示例
- Stoned 和 Michelangelo 等经典 MBR 病毒通过软盘传播。
- Petya 中覆盖 MBR 的组件导致 Windows 无法引导。
相关术语
计算机病毒
将自身代码插入其他程序或文件,并在宿主运行时被执行的恶意代码。
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
UEFI 根套件
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
隐蔽型恶意软件
通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。
固件恶意软件
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。