Bootsektorviren: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
Zeile 1: Zeile 1:
*Bootsektorviren befallen den ersten Sektor eines Datenträgers, auf dem der Startcode des Systems liegt. Dieser Bereich enthält grundlegende Routinen zum Initialisieren der Hardware und zum Laden des Betriebssystems. Der Virus ersetzt einen Teil dieses Startcodes oder verschiebt ihn an eine andere Stelle, sodass beim Booten zuerst der Schadcode ausgeführt wird.
 
  
*Nach der Aktivierung sorgt der Virus dafür, dass das eigentliche Betriebssystem trotzdem geladen wird. Dadurch bleibt das infizierte Medium weiterhin bootfähig, während sich der Virus unbemerkt verbreiten kann – z. B. über liegen gelassene USB-Sticks oder andere Wechselmedien.
+
<!-- basiert auf Kapitel 7.2 (Virenarten), Buch HERDT -->
  
*Manche Varianten verändern den Bootcode so stark, dass der Originalbereich nur noch verschlüsselt oder versteckt vorliegt. Entfernt man den Virus ohne Wiederherstellung des ursprünglichen Bootsektors, kann der Datenträger danach nicht mehr starten.
+
*Jeder bootfähige Datenträger besitzt einen speziellen Startsektor, in dem grundlegende Routinen für die Hardwareinitialisierung und den Ladevorgang des Betriebssystems hinterlegt sind.
  
*Bootsektorviren sind besonders gefährlich, weil sie sehr früh im Startvorgang aktiv werden, bevor Sicherheitsfunktionen des Betriebssystems oder Virenscanner überhaupt verfügbar sind.
+
*Dieser Startsektor – auch Bootsektor bzw. bei Festplatten MBR genannt – liegt immer am ersten physischen Sektor des Datenträgers.
 +
 
 +
*Bootsektorviren nutzen diesen festen Ort, indem sie eigenen Schadcode in den Startsektor schreiben.
 +
 
 +
*Damit das System weiterhin bootfähig bleibt, verschieben oder verändern Bootsektorviren den ursprünglichen Inhalt des MBR an eine andere Stelle.
 +
 
 +
*Beim Einschalten wird dadurch zuerst der Virus ausgeführt, bevor der ursprüngliche Bootcode geladen wird.
 +
 
 +
*Der Virus kann sich so unbemerkt verbreiten, da er vor dem Betriebssystem aktiv wird und dessen Sicherheitsfunktionen umgeht.
 +
 
 +
*Verbreitung erfolgt häufig über bootfähige Wechselmedien wie USB-Sticks, die versehentlich am Rechner stecken bleiben.
 +
 
 +
*Einige Varianten verschlüsseln oder verstecken den ausgelagerten Original-Bootcode vollständig.
 +
 
 +
*Wird der Virus entfernt, ohne den ursprünglichen MBR korrekt wiederherzustellen, kann der Datenträger anschließend unlesbar oder nicht mehr startfähig sein.

Aktuelle Version vom 25. November 2025, 16:50 Uhr


  • Jeder bootfähige Datenträger besitzt einen speziellen Startsektor, in dem grundlegende Routinen für die Hardwareinitialisierung und den Ladevorgang des Betriebssystems hinterlegt sind.
  • Dieser Startsektor – auch Bootsektor bzw. bei Festplatten MBR genannt – liegt immer am ersten physischen Sektor des Datenträgers.
  • Bootsektorviren nutzen diesen festen Ort, indem sie eigenen Schadcode in den Startsektor schreiben.
  • Damit das System weiterhin bootfähig bleibt, verschieben oder verändern Bootsektorviren den ursprünglichen Inhalt des MBR an eine andere Stelle.
  • Beim Einschalten wird dadurch zuerst der Virus ausgeführt, bevor der ursprüngliche Bootcode geladen wird.
  • Der Virus kann sich so unbemerkt verbreiten, da er vor dem Betriebssystem aktiv wird und dessen Sicherheitsfunktionen umgeht.
  • Verbreitung erfolgt häufig über bootfähige Wechselmedien wie USB-Sticks, die versehentlich am Rechner stecken bleiben.
  • Einige Varianten verschlüsseln oder verstecken den ausgelagerten Original-Bootcode vollständig.
  • Wird der Virus entfernt, ohne den ursprünglichen MBR korrekt wiederherzustellen, kann der Datenträger anschließend unlesbar oder nicht mehr startfähig sein.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Bootsektorviren&oldid=65828