fonctionnement mbr, virus, etc Résolu/Fermé

Question

Bonjour, 

Je ne suis pas infecté mais je cherche à comprendre le fonctionnement d'un virus de mbr.
Je sais que les 2 parties principales du mbr sont le chargeur d'amorçage et la table des partitions.
Ensuite je ne suis pas certain mais il me semble que:

1-Lorsqu'on installe un OS le chargeur d'amorçage existant est écrasé (grub écrase le loader windows si on installe gnu/linux aprés windows et réciproquement le loader windows reprend sa place si on installe windows à la place de gnu/linux)

2-La table des partitions est reécrite en cas de repartitionnement ou en cas de création d'une nouvelle table des partitions.

Donc je cherche à comprendre pourquoi un virus de mbr peut etre difficile à supprimer (j'ai lu qu'il fallait parfois passer par un formatage de bas niveau) et ou se cache t-il? En effet si mes deux points évoqués ci-dessus sont exact (merci de confirmer) que reste t-il comme espace intouchable pour qu'un tel virus puisse se cacher et résister à une réinstallation d'OS ou l'écriture d'une nouvelle table de partitions?



Configuration: Linux / Firefox 15.0.1

juju666 · Answer

Salut,

En général ils "déplacent" le MBR plus loin et s'installent à la place de celui d'origine.
Le bios n'y voit que du feu et lance le rootkit MBR qui lui même lance le vrai MBR pour passer inaperçu et charger le système.

voir : http://poloastucien.free.fr/mbr_fat_secteurs_boot_h.html

A+

fabul · Answer

Pour info,  

Greatis a un utilitaire pour sauvegarder et restaurer le mbr  

BootRescue  

Ici en bas: https://www.greatis.com/security/download.htm

jmarc · Answer

Salut juju666 et merci pour ta réponse rapide.
Donc si je comprend bien un virus de mbr ne devrait pas vraiment s'appeler un virus de mbr puisqu'il ne se trouve pas à l'intérieur de ce dernier ;)
Sinon concernant l'écrasement systématique du chargeur d'amorçage lors de l'installation d'un OS, j'ai juste?
Allez Je vais consulter le lien.

juju666 · Answer

Oui.

En fait, parfois il s'incruste dans le MBR.

jmarc · Answer

Et dans le cas ou il s'incruste dans le mbr il utilise quel espace (celui réservé à la table des partitions  ou au chargeur)? Car je vois pas quel espace peut être libre surtout avec grub qui, il me semble, occupe les 446 octets dispo pour le chargeur.
De plus s'il est dans le mbr il doit etre supprimé  lors d'une réinstallation (nouvelle table + nouveau chargeur), non?

juju666 · Answer

Un MBR ça fait 512 octets.
Il ne faut pas 512 octeurs pour le chargeur et la table des partitions.
:-)

Et oui il est viré. Mais dans le cas où le rootkit mbr expédie l'amorce à l'autre bout du disque et que tu écrase ton mbr "virus" par un propre, au revoir la table des partitions ...

jmarc · Answer

ok donc  lors d'une réinstallation de l'OS on risque de se retrouver avec la seule partition système fraîchement crée (les autres partitions étant inaccessibles du fait du déplacement de l'ancienne table par le virus), c'est bien ça?

juju666 · Answer

ouaip

jmarc · Answer

je te remercie

Fonctionnement mbr, virus, etc

9 réponses

Discussions similaires