MBRFilter beskytter Master Boot Record mot manipulering

0
143

MBRFilter er en ny, åpen kildekode-programvare for Windows-enheter, designet for å beskytte Master Boot Record mot manipulasjon.

Master Boot Record inneholder informasjon om hvordan partisjoner og filsystemer er organisert på en lagringsenhet.

Det utløser loader av installert operativsystemer som godt, noe som gjør det til en viktig del av en hvilken som helst datamaskin system.

Hvis Master Boot Record) er endret, enten ved et uhell eller gjennom en skadelig programvare, kan det resultere i boot feil eller andre problemer.

Det er malware der ute i naturen som overskriver Master Boot Record med sin egen boot loader. Petya, en ransomware, gjør det for eksempel.

MBRFilter

mbrfilter

Den viktigste hensikten med MBRFilter er å beskytte Master Boot Record mot enhver form for manipulasjon.

Merk: Det er sterkt anbefalt å teste filteret på en test system før det er installert på en produksjon maskin. Opprette en sikkerhetskopi av systemet før du gjør det i begge tilfeller å være på den sikre siden.

Installasjonen er litt pirkete. Filteret leveres som kilde, men også som en 32-biters og 64-biters driver for Windows. Sørg for at du laster ned riktig versjon for Windows og pakk ut den nedlastede arkivet etterpå.

Arkivet inneholder en .inf-filen og .sys-fil. Høyre-klikk på MBRFilter.inf og velg installer fra kontekst menyen som åpnes. Du blir bedt om å starte systemet etterpå for å fullføre installasjonen.

Hvis ting fungerte bra, Windows skal starte opp igjen, og du kan begynne å bruke systemet som før. Den eneste tingen som du må være klar over er at sjåføren vil hindre skriver til sektor 0 på alle stasjoner, inkludert de som du kan godkjenne. Du kan kjøre inn i problemer, for eksempel når du initialiserer nye stasjoner på maskinen.

Dette kan forårsake et problem når du starter en ny disk i Disk Management program. Klikk på “Avbryt” når du blir bedt om å skrive MBR/GPT og det skal fungere som forventet.

Alternativt, hvis det er OK det ble klikket på, og deretter avslutte og starte programmet vil tillate partitoning/formatering.

Fjerning er ganske komplisert, så vel. Den Github prosjektet siden lister opp alle trinnene som er nødvendig for å fjerne MBRFilter igjen fra en maskin. I utgangspunktet følgende tiltak må gjennomføres:

  1. Åpne et Register Editor og fjerne MBRFilter linje fra UpperFilters registernøkkel: HKLMSystemCurrentControlSetControlClass{4d36e967-e325-11ce-bfc1-08002be10318}
  2. Omstart
  3. Bruk AccessMBR, et program som følger med på Github nettstedet, samt for å kontrollere at MBR lock er deaktivert.

Den eneste muligheten du har til å manipulere boot sektor, mens føreren er aktiv, er å starte opp i sikkermodus.

Avsluttende Ord

Hvis du er bekymret, særlig om malware som overskriver Master Boot Record, eller utilsiktet skade det, så kan du finne MBRFilter nyttig som det hindrer at det skjer.

Det kan være mer fornuftig for de fleste brukere å installere anti-ransomware-programvare-eller antivirusprogrammet i stedet som skal hindre ransomware eller skadelig programvare som kjører på PC-en i første omgang (og dermed endre MBR).