为什么甚至可以覆盖引导扇区

Question

为什么可以在 Windows 中如此简单地覆盖引导扇区？我刚刚遇到了一个涉及写入原始物理磁盘的小编码事故，我搞砸了算术并最终将引导扇区归零（我承认是新手失败）。虽然很容易修复。但是，当一些随机程序尝试在引导扇区上写入时，操作系统不应该发出某种警告（这可以说是硬盘驱动器数据中最重要的部分，因为没有它，就无法识别硬盘驱动器）？

我的杀毒软件甚至没有启动我的程序，一想到病毒刚刚出现并无辜地覆盖我的引导扇区，我就不寒而栗。我的意思是这种东西肯定有“潜在破坏性”的资格，对吗？

这没什么大不了的，但我很惊讶地看到它甚至是可能的。有什么方法可以让 Windows 限制对引导扇区的访问，这样我（或另一个更邪恶的程序）就不能再把它搞砸了？

Answer 1

为什么这是可能的？

• 该软件以管理员权限运行

为什么AV收不到我的节目？

• 您的 AV 可能不支持基于行为的检测。
• 您的 AV 假定它不是计算机病毒，因为那些想要自我传播而不是立即杀死 Windows。这将是疏忽的，因为：
• 恶意软件现在确实会写入引导扇区，即使在成功从操作系统中删除后，它也是一种使感染持续存在的非常流行的方式，它通过在 Windows 加载之前很久运行存储在引导扇区中的代码，在每次引导时重新安装自身，一些高级恶意软件实际上将附加代码存储在硬盘驱动器的第二个 K 中，该代码当前未被其他任何东西使用，并且大多数人都不知道。它如何在没有在 Windows 中被标记的情况下一直在变化。– 摩押

当某些随机程序尝试在引导扇区上写入时，操作系统不应该发出某种警告吗？

• 是的，应该。带有一个大的 UAC 风格的弹出窗口。
• 从 Vista 开始，重要的系统文件默认只授予对 TrustedInstaller 的写访问权限。当然，可以取得所有权，但与 Linux 的 root 不同，标准管理员帐户不能修改它们。事实上，system，在权限方面相当于root，没有写访问权限。如果可以修改具有正常提升的系统文件/二进制文件（当然，需要以某种方式读取 NTFS 文件系统），那么这可能被视为安全漏洞...... – Bob