chris84 a écrit :Miroir a écrit :coq a écrit :Bonsoir,
L'histoire, c'est qu'une fois infecté, on ne peut plus écrire sur le MBR.
Bref, on croit qu'on réécrit, y compris nos superbes logiciels, mais on ne le fais pas en réalité.
Seulement si on essaie d'écrire après que le code du virus s'est chargé en mémoire.
Si tu démarres sur une unité non contaminée, comme une disquette ou un CD, tu peux modifier le MBR.
C'est quoi un MBR ?
1. À la mise sous tension, la carte mère envoie des signaux électriques à destination du processeur afin de le mettre dans un état particulier (RESET HARDWARE). Le processeur entre alors en phase d’initialisation matérielle, exécute un auto-test interne, bascule en mode d’adressage réel, puis va exécuter la première instruction à l’adresse physique 0xFFFFFFF0 à laquelle se trouve une instruction de saut vers le code d’initialisation du BIOS.
2. Le BIOS correspond à une interface élémentaire entre le matériel (hardware) et le logiciel (système d’exploitation) permettant le contrôle des éléments matériels. Il s'agit d'un petit logiciel dont une partie est dans une ROM (mémoire morte, c'est-à-dire une mémoire qui ne peut pas être modifiée) et l’autre partie dans un EEPROM (mémoire modifiable par impulsions électriques, d'où le terme flasher le BIOS pour désigner l'action de modifier l'EEPROM). Le BIOS va faire l'inventaire du matériel présent dans l'ordinateur et effectuer un test afin de vérifier son bon fonctionnement (c’est le POST pour "Power-On Self Test" = "auto-test de démarrage"). Si le POST rencontre une erreur, il va afficher un message à l'écran ou émettre une séquence de bips permettant de diagnostiquer l'origine de la panne. Si tout est correct le BIOS émettra généralement un bip bref signalant qu'il n'y a pas d'erreur. Le BIOS va également mettre en place la table des vecteurs d’interruption qui donne l’adresse physique de diverses routines permettant de contrôler l’intégrité de la séquence de démarrage de l’ordinateur. Lorsque le BIOS a terminé son initialisation, il va chercher le premier périphérique bootable (par la recherche de la marque de secteur exécutable 55AA) selon un ordre prédéfini et modifiable dans le BIOS (sélection du périphérique de boot). Lorsqu’un 55AA est trouvé (celui du MBR en l’occurrence), le début du secteur correspondant, le code exécutable, est lu et chargé en mémoire à l’adresse 0000:7C00 (dans la mémoire RAM), puis il va se déplacer à l’adresse 0000:0600, explorer la table de partition située en fin de secteur afin de charger à son tour en mémoire (à l’adresse 0000:7C00 qu’il aura libérée) le secteur de boot de la partition désignée comme active dans la table de partition, lequel va ensuite lancer Ntldr qui lui-même va lancer successivement d'autres fichiers système (boot.ini, Ntdetect.com, Hal.dll…) nécessaires au lancement de l’OS.:
petite digression : comment agit un virus touchant le MBR et pourquoi un fixmbr est-il dangereux dans ce cas ? En fait le virus va s’installer à la place du MBR sur le 1er secteur du DD et transférer le secteur original du MBR à un autre endroit du disque dur (souvent le dernier secteur). Au démarrage, lorsque le BIOS va vouloir activer le MBR, il va en réalité activer le virus et charger celui-ci en mémoire, mais le virus va charger à son tour le MBR original si bien que le processus de démarrage va sembler normal. Si l’on fait un fixmbr, le virus va être (en partie) détruit, mais le véritable MBR ayant été déplacé il ne pourra plus être chargé en mémoire et sa table de partition ne sera plus du tout accessible, d’où plantage irrémédiable… certains virus de secteurs de boot se comportent exactement de la même manière, et dans ce cas c’est la commande fixboot (et non plus fixmbr) qui va tout planter… Il faut savoir également que certains virus infectant le MBR peuvent effacer la marque de secteur exécutable 55 AA : or dans ce cas le fixmbr fait encore plus de dégâts car s’il ne trouve pas de 55 AA il va effacer complètement la table de partition en mettant des 00 partout… donc prudence quand même avec cette commande.
Oui, en gros il faut être informaticien pour comprendre tout ça...
Tireur_isolé a écrit :Oui, en gros il faut être informaticien pour comprendre tout ça...
*
_ Ces gens parlent un langage très hermétique, frôlant l'ésotérisme...
Revenir vers « Trucs et astuces informatiques »
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 0 invité
