domenica 23 novembre 2008

Come creare e ripristinare una copia di backup del MBR

Il Master Boot Record (abbreviato, MBR), è il settore di avvio presente sul disco fisso che contiene informazioni di importanza cruciale per il corretto caricamento del sistema operativo. Il MBR occupa i primi 512 byte dell'hard disk e conserva la tabella delle partizioni, utilizzata dal sistema per stabilire quale partizione è impostata come "attiva".
Allorquando, per i motivi più disparati, le informazioni presenti nel MBR dovessero danneggiarsi o venissero modificate in modo inadeguato, il rischio è quello di non poter più avviare normalmente il sistema operativo installato sul disco fisso.

Nel corso degli ultimi mesi sono tornati in auge malware che infettano il MBR. Numerosissime sono le varianti che hanno preso a diffondersi in Rete. Virus che infettavano il MBR erano molto comuni negli anni '90 mentre, successivamente, non sono stati più sviluppati malware del genere. L'infezione del MBR è oggi "tornata di moda" perché i malware sfruttano, contemporaneamente, unzioni mimetiche a livello kernel. Se la strategia che vede l'infezione del MBR è molto vecchia (i primi virus che infettavano il MBR risalgono ai tempi del DOS), i malware moderni le abbinano l'impiego di efficaci e purtroppo pericolose tecniche rootkit. Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l'esecuzione all'avvio del sistema operativo (il MBR è il primo ad essere caricato) senza rischiare di essere smascherati facilmente (uso di tecniche rootkit).

Iniziamo col presentare alcuni strumenti che consentono di creare una copia di backup del contenuto del MBR, ripristinabile ove ve ne fosse la necessità. Ricorderemo poi la procedura che può essere sfruttata, attraverso l'uso della Console di ripristino di Windows, per ricostruire completamente il MBR e tentare di rendere così nuovamente avviabile il sistema operativo.

- MBRwizard!
-
MBRtool
-
HDHacker
-
Utilizzo della console di ripristino di Windows

http://www.ilsoftware.it/articoli.asp?id=4824

Nessun commento: