開機磁區病毒：定義、預防和移除

技術定義與功能

先於作業系統和其他軟體執行的能力，賦予開機磁區病毒深層存取權和執行優先權。此執行優先權可繞過傳統防毒軟體掃描、作業系統重裝嘗試及系統進程操控。 

開機磁區病毒透過感染 MBR（位於儲存裝置的第一個磁區，包含磁碟分割表和開機載入程式）或 VBR（包含特定磁碟分割的開機指令）來取得此優先權。通常，開機磁區感染過程會遵循以下步驟：

1. 初始感染：修改 MBR 或 VBR 
2. 啟動時執行：系統啟動時載入開機磁區 
3. 記憶體駐留：透過將自身複製到系統記憶體中來維持持續性 
4. 有效載荷啟動：藉由損毀檔案或停用安全措施 

隨著磁碟機的式微，開機磁區病毒變得不太常見。然而，它們的核心原理仍然存在於現代的網路安全威脅中，例如 bootkits 和韌體 rootkits。這些先進的威脅會在更深層次危害開機程序，以 UEFI/BIOS 韌體為目標，因此若沒有專門的鑑識工具，就很難偵測和移除這些威脅。

開機磁區病毒傳統上透過可移除式儲存裝置傳播，這種方法至今仍適用。它們透過USB 和外接式硬碟等實體媒體傳播。

雖然電子郵件附件不是開機磁區感染的直接媒介，但它們可以用來傳送惡意的有效載荷，以後再感染開機記錄。惡意電子郵件附件通常包含腳本、巨集或可執行檔，可下載並安裝開機磁區惡意軟體、利用漏洞提升權限，或誘騙使用者執行受感染的軟體。

歷史上，開機磁區病毒主要感染磁片和 DOS 作業系統。最常見的類型是 FBR（軟碟開機記錄）病毒，它會修改軟碟的第一個磁區，以及 DBR（DOS 開機記錄）病毒，它會修改硬碟的開機磁區，以 DOS 系統為目標。 

隨著技術的演進，出現了更多針對硬碟、USB 磁碟機和韌體的複雜技術。現代的開機磁區形式包括 MBR Infectors (覆寫或修改 MBR，甚至可能覆寫系統的 BIOS) 和 Bootkits (針對 UEFI/BIOS 韌體和修改核心程序)。

開機磁區病毒可根據其特定目標和感染方式進行分類。它們的共同目標是利用作業系統處理開機程序的方式執行惡意程式碼，但指定的目標和行為卻各不相同。

FBR 是磁碟的第一個磁區，包含舊作業系統的開機程式碼。某些開機磁區病毒會透過修改 FBR 來感染磁碟，然後在系統嘗試開機時執行。

其他開機磁區病毒則針對已分割硬碟或USB 磁碟機的 VBR。它們會更改開機載入程序以注入惡意程式碼。有些變種甚至會建立原始 DBR 的備份，以逃避偵測。

及早偵測這些感染對防止進一步的損害和資料遺失至關重要。開機磁區病毒感染通常會透過持續性的系統問題表現出來，例如：

• 系統速度變慢和效能問題：例如經常凍結、當機，或由於背景進程導致程式反應不良
• 開機失敗和錯誤： 系統無法正常開機或卡在黑螢幕上
• 資料損毀和檔案錯誤：遺失、損毀或變更的系統檔案增加
• 進階指示器：例如未經授權的系統修改、磁碟分割損毀或無法偵測硬碟機

防止開機磁區病毒感染的最佳方法是阻止初始有效載荷的安裝。可以掃描開機磁區、隔離和移除惡意檔案的專用反惡意軟體或網路安全解決方案，是阻止此類惡意軟體的最佳方法之一。其他有助於防止開機磁區感染的方法包括使用開機時間掃描功能或裸機掃描工具執行定期掃描、執行定期備份、避免使用不受信任的媒體，以及停用實體媒體自動執行功能。 

開機磁區病毒可能很頑固。要完全清除病毒，需要採用結構化的方法，通常需要使用可開機的防毒工具和命令行實用程式。移除開機磁區病毒的常見步驟如下：

1. 隔離受感染的系統：中斷電腦與網路的連線，以防止進一步擴散 
2. 使用可開機的惡意軟體掃描軟體：因為在作業系統內進行的傳統防毒掃描可能無效。 
3. 修復/復原 MBR 或 GPT（GUID 磁碟分割表）：使用內建系統工具 
4. 開機並執行完整系統掃描：確認系統檔案中沒有惡意軟體持續存在 
5. 還原或重新安裝作業系統： 必要時

如果感染持續或已造成無法修復的損害，您可以考慮重新安裝作業系統。如果系統在 MBR 修復後仍無法開機、重複發生感染，顯示有 rootkit 或持續存在的惡意軟體，或 BIOS/UEFI 設定已被鎖定，建議尋求專業協助。