Материнская плата защита от несанкционированной модификации корневой загрузочной записи mbr

Обновлено: 04.07.2024

Что такое MBR и MFT

Запись MBR или главная загрузочная запись имеет небольшое выделенное пространство на диске, в котором хранится информация о разделах диска и конфигурация файловой системы. Простыми словами, MBR отвечает за загрузку операционной системы и хранит данные для получения данных, необходимых для этого. MBR также поддерживает таблицу под названием “Таблица разделов-Master File Table”, которая определяет перегородки на жёстком диске. MBR как правило, хранится в первом секторе или другими словами на фронте всех других данных на жёстком диске.

Фильтр МБР

Защита загрузочной записи

Фильтр MBR запускает настройки безопасности и требует, чтобы система загружалась в безопасном режиме, чтобы сделать какие-либо изменения в первый сектор и загрузочную запись. Используя этот драйвер, вы сможете сократить доступ к MBR и MFT для большинства вредоносного программного обеспечения. Все их попытки проникнуть на ПК будут бесполезными после того, как вы установили фильтр MBR на свой компьютер.

Как установить фильтр в MBR

Установка фильтра MBR является довольно простой. Для этого перейдите в сайт фильтр MBR и скачайте вариант, соответствующий архитектуре вашей системы. Извлеките содержимое zip-файла, там будет доступно два файла.


Щёлкните правой кнопкой мыши на файл MBRFilter.inf и выбираете установить. Установка быстро закончится, и вы должны перезагрузить компьютер, чтобы изменения вступили в силу.

Фильтр MBR является намеренно трудным чтобы его удалить, чтобы вредоносная программа не могла удалить его и получить доступ к MBR. Если вы хотите проверить, работает или нет MBR фильтр, вы можете скачать AccessMBR. Он будет читать сектор ‘0’ на физическом диске 0 и напишет, что сектора проверены, и что фильтр MBR работает должным образом или нет.

Заключительные слова

Если вы хотите полную защиту от вымогателей, убедитесь, что вы установили фильтр MBR. Если вы хотите внести изменения в MBR под себя, вы можете загрузить компьютер в безопасном режиме и сделать это. Используйте этот инструмент с осторожностью, желательно в испытательной среде, так как это может происходить с серьезными последствиями.

MBRFilter

Не для кого не новость, что вирусы со временем становятся все лучше и лучше. Если когда-то вирусы были просто развлечением программистов, сегодня они являются заработком хакеров. С помощью вредоносных программ воруют ценную информацию, создают хорошо окупающие себя ботнеты, ну и конечно же зарабатывают на Винлокерах (вымогателях-шифровальщиках).


Я хорошо помню первые Винлокеры, как они создавались и выкладывались авторами совершенно бесплатно. Кто тогда мог подумать, что на Винлокерах поднимут целую индустрию и они будут такими прибыльными и навороченными. Хотите знать как я проверяю программы и анализирую вирусы? Начните с правильной установки и настройки виртуальной машины VirtualBox. Вам это понадобится!

Сегодняшние шифровальщики типа Petya и Satana куда круче того, что было когда-то. Сегодня кроме всего прочего они научились заражать главную загрузочную запись MBR. Как это работает, и как от этого защититься я расскажу вам в сегодняшней статье.

Защита MBR

Главная загрузочная запись

Что такое главная загрузочная запись?

Так как код MBR выполняется перед самой загрузкой операционной системы, он может стать жертвой вирусов-вымогателей. Вредоносные программы заражающие MBR известны как Буткиты.

Microsoft уже давно пытается решить проблему MBR-вирусов путем реализации криптографической проверки загрузчика в Windows 8 и более новых версиях. Данная функция называется безопасной загрузкой и основывается на Unified Extensible Firmware Interface (UEFI) — современном BIOS.

Проблема заключается в том, что безопасная загрузка работает далеко не на всех компьютерах и не на всех версиях ОС Windows и не поддерживает диски с MBR-разделами. Это говорит о том, что на сегодняшний день огромное количество персональных компьютеров остаются уязвимыми для атак MBR.

MBRFilter

Но на днях ребята из команды Talos которая отвечает за информационную безопасность в компании Cisco Systems выложили бесплатную с открытым исходным кодом утилиту, которая защищает master boot record (главную загрузочную запись) компьютеров на операционной системе Windows от изменения вредоносными программами.

Вы можете скачать MBRFilter с Гитаба бесплатно по этой ссылке. А вот альтернативная ссылка для тех у кого проблема с доступом на Гитаб. В архиве версия для 32-бит и 64-бит + исходники.

Как установить MBRFilter

MBRFilter

Теперь если какой-нибудь шифровальщик попробует изменить загрузочный сектор, пользователь увидит оповещение о том, что была попытка изменить главную загрузочную запись. На скрине ниже вы можете видеть такое оповещение при запуске вымогателя Петя.

Защита MBR
Как удалить MBRFilter

Удаление MBRFilter тоже не проблема, но маленько посложнее. Для этого комбинацией клавиш WIN + R вызываем окно выполнить.

Win-R

regedit

После чего находим эту ветку:

Там могут быть и другие записи. Необходимо удалить только эту!

Защита загрузочного сектора

В конце перезагружаем компьютер.

Данную процедуру, точнее удаление, рекомендую делать перед переустановкой системы. А так, после установки утилиты, можете про нее забыть.

Поскольку ПК приобретается раз в несколько лет, а его комплектующие периодически заменяются, программные и аппаратные компоненты порой плохо соответствуют друг другу. Сам ПК может быть достаточно старым, но вы укомплектовали его современным SSD. Уже не первый год доступна Windows 10, а вы до сих пор отдаете предпочтение привычной «семерке».

Помимо таких заметных каждому вещей, как производительность процессора и интерфейс ПО, есть значимые характеристики, которые начинают представлять интерес только в тех случаях, когда становятся причиной сбоев.

К ним относится и формат таблиц разделов HDD или SSD. Вы могли и не слышать о существовании характеристики накопителя, которая неожиданно огорчила, препятствуя установке Windows 7, 10 или 8.

ПК «говорит», что установка Windows невозможна. Причина: таблица разделов диска — GPT или MBR. Увы, технологии прошлого не всегда «дружат» с современными. К счастью, это легко исправимо.


Не получается поставить ОС на GPT-диск. Решения, которые помогут

Существуют две возможности:

  1. Установка ОС на диск GPT.
  2. Преобразование в MBR.

Настоящее (UEFI и GPT) и прошлое (BIOS и MBR)

Раньше материнская плата ПК оснащалась ПО BIOS. Оно осуществляло диагностику и анализ железа, а затем загружало ОС, опираясь на загрузочную запись раздела MBR.


В более современных моделях роль BIOS выполняет UEFI. Загружается быстрее и поддерживает:

  • Безопасную загрузку.
  • HDD, зашифрованные на аппаратном уровне.
  • Драйвера UEFI.
  • GPT-диски.


GPT превосходит MBR по важным параметрам:

  • Работает с HDD большего объема.
  • Большее число разделов на HDD.

Выбор метода

Пытаться все же установить систему на «несовместимый HDD» или преобразовать его в MBR и тем самым сделать так, что ошибка больше появляться не будет. В каждом случае решение зависит от ряда факторов:

  • Для старого ПК со старомодным BIOS и 32-битным процессором оптимальным решением будет преобразование GPT в MBR.
  • Обладателям ПК с 64-битным процессором и UEFI предпочтительно установить систему на GPT-диск.

Помните:

  • Предельный объем MBR-диска — 2 терабайта.
  • Возможность создания на MBR-диске более четырех разделов затруднено.

BIOS или UEFI

Когда вы заходите в BIOS и видите старомодный синий экран — перед вами традиционный BIOS. Если интерфейс с современной графикой и поддержкой мыши — это UEFI.

Чаще всего не получается установить Windows 7

Сложности с установкой системы на GPT-диск с большей вероятностью возникают у пользователей, которые предпочитают Windows 7.

Для установки Windows на диск со стилем разделов GPT необходимо соблюсти два условия:

Не исключено, что будет достаточно поменять настройки BIOS. Зайдите в него, нажав предусмотренную для этого клавишу. Вы увидите, какую клавишу нажимать в процессе загрузки компьютера. В ноутбуках чаще всего применяется F2, в настольных моделях — Delete.

Поменяйте загрузку CSM (Compatibility Support Mode) на UEFI.


Ищите в разделах «BIOS Setup», «BIOS Features» или подобных по смыслу. В SATA определите режим AHCI, а не IDE.


Для седьмой (и еще более древних) версий Windows нужно также выключить Secure Boot.


BIOS вашей модели компьютера может выглядеть иначе. Названия пунктов меню также могут быть другими. Но смысл всегда сохраняется.

Если накопителем поддерживаются два метода загрузки, удалите файл «bootmgr» в корневой директории флешки. Тем самым вы предотвратите возможность загрузки в режиме BIOS. Если нужна загрузка в режиме BIOS, удалите каталог «efi». Не делайте этого в тех случаях, когда есть хоть малейшие сомнения. Можно повредить дистрибутив.

Преобразование GPT в MBR

Если вы располагаете ПК с классическим BIOS и собираетесь поставить Windows 7, этот вариант будет лучшим (и, возможно, единственным). В процессе преобразования вся информация с накопителя будет удалена.

Во время работы мастера установки ОС нажмите F10 и Shift. В некоторых моделях ноутбуков — F10, Fn и Shift. В открывшейся командной строке последовательно введите такие команды:

— diskpart
— list disk (запишите номер подлежащего преобразованию диска)
— select disk N (вместо N — записанный номер)
— clean (команда очистит диск)
— convert mbr
— create partition primary
— active
— format fs=ntfs quick (быстрое форматирование в файловой системе NTFS)
— assign
— exit


Невозможно поставить ОС на диск с MBR-разделами

Вероятна обратная ситуация. Появляется ошибка:

«Установка Windows на данный диск невозможна. На выбранном диске находится таблица MBR-разделов. В системах EFI Windows можно установить только на GPT-диск»

Она означает, что вы пытаетесь установить систему с DVD или USB-накопителя в режиме EFI. Таблица разделов HDD или SSD старая — MBR. В этом случае вы можете:

  • Преобразовать SSD или HDD в GPT.
  • В UEFI или BIOS поменять установленный способ загрузки с Legacy на EFI.

Первый вариант предпочтительнее, поскольку проще и быстрее. Помните, что информация со всех разделов накопителя будет полностью потеряна.

Преобразование MBR в GPT. Вся информация будет удалена

В установщике системы запустите командную строку:

  • F10 и Shift (на настольных ПК).
  • F10, Fn и Shift (на некоторых ноутбуках).

В открывшемся окне:

  • Последовательно вводите показанные команды.
  • Нажимайте Enter после ввода каждой из них.

— diskpart
— list disk (запишите номер подлежащего преобразованию диска)
— select disk N (вместо N — записанный номер)
— clean (команда очистит диск)
— convert gpt
— exit


Когда команды применены:

  • Закройте окно командной строки.
  • Нажмите «Обновить» в окне выбора разделов.
  • Нажмите «Создать» для формирования нескольких разделов на HDD или SSD.
  • Выберите свободное пространство и запустите установку ОС.


Более простой способ преобразования с потерей информации на накопителе:

  • Удалите все разделы на HDD или SSD.
  • Выберите свободное пространство.
  • Нажмите «Далее».

Результатом ваших действий станет автоматическое преобразование в GPT. Следующим шагом стартует установка ОС.

Как не потерять данные при преобразовании

Используйте стороннюю утилиту Minitool Partition Wizard Bootable. Скачайте ISO-образ и запишите его на флешку, отформатированную в FAT32. Необходимые условия:

  • Используется загрузка EFI.
  • В BIOS выключена функция «Secure Boot».

Загрузите ПК с созданного вами накопителя. В окне программного инструмента:

  • Выберите HDD или SSD таблицу разделов которого нужно преобразовать.
  • В левой части окна программы выберите пункт «Convert MBR Disk to GPT Disk».
  • Примените изменения нажатием кнопки «Apply».
  • Дайте положительный ответ на предупреждение утилиты.
  • Ждите завершения преобразования. Время, которое потребуется, зависит от объема накопителя и занятого пространства на нем.


  • Выберите раздел загрузчика ОС, который располагается в самом начале.
  • Удалите его, нажав «Delete» и подтвердив действие кнопкой «Apply». Вместо него вы можете тут же создать новый раздел загрузчика, но уже в файловой системе FAT32.
  • Повторите действия для преобразования таблицы разделов.

Как обойтись без преобразования

Зайдите в BIOS и установите режим загрузки CSM (Compatibility Support Mode) или Legacy, отключив EFI. Отключите «Secure Boot».

Ранее я подробно рассмотрел процессы чистой установки Windows 10 и Windows 7.

Какие другие затруднения возникали у вас при установке Windows?

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

В последнее время в Интернете получил массовое распространение ранее неизвестный червь — Win32/Zimuse, нацеленный на повреждение главной загрузочной записи MBR (Master Boot Record) на жестком диске.
Примечательно то, что данная угроза изначально была в шутку создана для заражения одного небольшого сообщества словацких байкеров. Возможно, это были происки конкурирующего с ними мотоклуба. Однако сегодня червь уже вышел из-под контроля его авторов и активно распространяется по всему миру. При этом 90% всех инфицированных пользователей сначала находились на территории Словакии. Но теперь по количеству заражений лидируют также США, Таиланд и Испания, с небольшим отставанием Италия, Чехия и другие европейские страны.

Win32/Zimuse повреждает главную загрузочную запись MBR на всех обнаруженных им жестких дисках. Это делает недоступными для пользователя все данные, находящиеся на жестком диске.

image

image

Червь распространяется двумя способами: в виде приложения на вполне легальных веб-ресурсах, которое имитирует поведение самораспаковывающегося zip-архива или в виде программы IQ-теста, а также на сменных USB-носителях. Именно второй способ повлиял на быстрый рост его распространения.

image

После запуска программ IQ-тест пользователи могут наблюдать текстовое послание на чешском языке, что еще раз подтверждает происходение этого червя из Восточной Европы.

image

На сегодняшний день червь известен в двух вариантах — Win32/Zimuse.A и Win32/Zimuse.B. Они отличаются методом распространения и временем активации. Варианту «А» необходимо 10 дней до начала распространения через USB-устройства, второму — лишь 7 дней с момента заражения.
Подобного рода инцидент уже был ранее известен с вирусом OneHalf, который наделал много шума в середине девяностых. В то время многие антивирусные программы были бессильны перед данной угрозой. OneHalf заражал MBR и шифровал пользовательские данные. Многие варианты лечения этого вируса приводили к повреждению загрузочного сектора и потере данных. В процессе расследования и поиска авторов OneHalf большинство фактов указывало на то, что его распространение началось именно в Словакии и, вероятнее всего, автор был тоже оттуда.

Пользователи антивирусных продуктов ESET NOD32 Antivirus и ESET NOD32 Smart Security защищены от угрозы Win32/Zimuse, а для всех остальных компания ESET разработала специальную утилиту, которая позволяет избавиться от червя Zimuse Removal Tool.

Читайте также: