BIOS启动+MBR系统硬盘加个GPT从盘有没问题

ccboxes

jinsm 发表于 2017-4-18 14:48
用的时间不长，没觉得比MBR好，实际用的人也不多吧。
UEFI+GPT应分开说，大硬盘必须用GPT，升级了不错。 ...

所有新电脑都是，虽然性能上没有提升，但安全性大大增强，免疫所有引导病毒。

jinsm

ccboxes 发表于 2017-4-18 20:00
所有新电脑都是，虽然性能上没有提升，但安全性大大增强，免疫所有引导病毒。

安全性、免疫......我不大懂，愿闻其详，是权威说法吗？

zhenDL

我基本上已经不在硬盘上用MBR分区表了， 除了一些不支持UEFI启动的电脑外，也就只有系统盘才用MBR分区表其他硬盘全是GPT。另外UEFI+GPT启动系统可以免疫MBR病毒(锁机)

ccboxes

jinsm 发表于 2017-4-18 22:09
安全性、免疫......我不大懂，愿闻其详，是权威说法吗？

简单来说针对旧引导方式的病毒对UEFI+GPT都无效，而新方式出现两年来还没有被发现漏洞。

fakeviolation

jinsm 发表于 2017-4-18 22:09
安全性、免疫......我不大懂，愿闻其详，是权威说法吗？

装不了老系统（也许指32位系统？）是UEFI的锅（虽说GPT也是UEFI标准的一部分……）PS：即使BIOS+GPT成功启动了XP等老系统，也是很折腾的，说不定还会导致某些应用不正常。
比如，我记得Macbook上如果改用UEFI+GPT启动Windows，Windows就不能挂载HFS+分区了（苹果官方的BOOTCAMP里有一个文件系统驱动支持HFS+，不过是只读的）。
同理，说不定BIOS+GPT也会构造出程序员没想到的情况，引发bug。

但如果只是放数据，不放系统，我觉得没问题，可能GPT还是比MBR更好的选择。


至于隐藏分区……隐藏分区有啥？ESP、MSR、WinRE，品牌机还有OEM呗。
ESP使用FAT32文件系统（所以不能和C盘并一个区）存放引导文件，UEFI的特点是不再执行MBR、PBR里的引导代码，所以原来的MBR病毒都免疫了。当然，这不等于UEFI免疫BOOTKIT，说不定UEFI的BOOTKIT开发起来还更容易了。
MSR是留给动态磁盘用的，删掉也没见啥坏影响……不过不建议删。
WinRE分区存放一个类似WinPE的镜像。说实话，我也觉得WinRE太保守，连个桌面都没有（感觉可能仅仅是微软抠门，害怕用户把WinPE当正常系统用而已）。不过Push button reset就是自动迁移个人文件的系统重装，感觉真的方便。
OEM分区存放出厂镜像，可能还有某些品牌机特有的软件……

总之，隐藏分区都有用，多了它们除了暂时的不习惯，感觉没啥不好。
而且GPT在磁盘空间末尾还有一份备份数据，更可靠。

MBR上的四个主分区、链式分区表才是真的蛋疼。

fakeviolation

ccboxes 发表于 2017-4-19 09:42
简单来说针对旧引导方式的病毒对UEFI+GPT都无效，而新方式出现两年来还没有被发现漏洞。

防BOOTKIT需要开SecureBoot。然而有多少人自信地按照教程把SecureBoot直接给关了呢……

而且，貌似SecureBoot已经破解了，因为微软无意泄露了某个东西……
搜索关键词Secure Golden Key Boot。
当然，MBR BOOTKIT是直接免疫了……

ccboxes

fakeviolation 发表于 2017-4-19 17:41
防BOOTKIT需要开SecureBoot。然而有多少人自信地按照教程把SecureBoot直接给关了呢……

而且，貌似Sec ...

你混淆了bootkits和rootkits。

SB防的是rootkits，说白了就是一个被系统优先加载的、取得了system权限的内核驱动，从这种角度看，安软的驱动就是被微软签名认证的rootkits。
而bootkits比如鬼影则是更深层次的东西，通过修改引导文件实现先于操作系统启动，然后直接在系统进程中插入恶意代码。

各大安软都有rootkits扫描和专杀，使用ARK工具也可轻松搞定。但设计完善的bootkits在其引导的系统运行时是完全没有任何办法对付的（这样看鬼影是很良心的，备份了原来的MBR，同时不禁止操作MBR），只有重新建立引导文件才能查杀。

先不提微软这个后门现在已经被修复了（不能算破解，因为是本来就有的后门）。就算关闭SB，也只是能运行rootkits，现今仍然没有任何能在UEFI+GPT上运作的bootkits。仅就现在而言，UEFI+GPT的普及极有可能灭绝bootkits这个病毒种类。

闪电战

和7、8楼观点相反
我认为一种新东西如果没有明显的不能接受的地方，那肯定是用新不用旧

具体到UEFI+GPT
首先UEFI引导速度明显比传统BIOS快（还有个附加好处就是操作系统可以从显卡UEFI ROM里读取分辨率，重装系统直到显卡驱动装好前都不用再忍受800*600的分辨率了）
其次GPT的安全性、健壮性也比旧式MBR好，起码免疫MBR引导型病毒

现在我的几台电脑，只要硬件支持，硬盘全部换成GPT分区表（操作系统全部Windows 10），一台X99那自然不消说，UEFI+GPT，就是技嘉X99P-SLI打开SecureBoot后找不到系统不知道怎么回事；一台HM55的笔记本，还不支持UEFI，不过支持EFI引导，也把硬盘换成了GPT分区表；还有台X58的，虽然有技嘉所谓Hybrid EFI，不过用EFI引导要额外增加不少时间，所以还用的BIOS+MBR。

至于隐藏分区什么的……我只能说有些强迫症还是应该克服一下，实际上从Windows 7开始，在MBR上安装系统，都会创建一个隐藏分区（记得7是100MB，8开始增加到500MB）用于存放WinRE环境，单独放在一个隐藏分区也是比放在C盘根目录下安全。

fakeviolation

ccboxes 发表于 2017-4-19 18:07
你混淆了bootkits和rootkits。

SB防的是rootkits，说白了就是一个被系统优先加载的、取得了system权限 ...

我怎么混淆了？

Rootkit是个大的概念，有内核模式的也有用户模式的，它包括Bootkit，不过Bootkit一般指的是感染MBR、PBR等启动代码、干涉系统引导过程的Rootkit。

说SecureBoot防Rootkit当然没问题……但是SecureBoot也可以防Bootkit啊。

只是UEFI BOOTKIT这个词可能会产生歧义。比如固件如果有漏洞，在Windows下可以直接刷写进恶意修改过的固件，然后恶意代码可以深入到SMM等更难以检测的层面。这种UEFI BOOTKIT确实干掉了SecureBoot。

我的定义就是恶意UEFI Application。
比如，做一个恶意的bootmG{过}F{滤}W.efi，这难道不算是先于操作系统启动？这恰好在SecureBoot的防御范围内。
当然，开了SecureBoot，引导时加载的驱动也需要有效数字签名（因为微软的DSE策略），而且启动后加载驱动规则会更严格。

至于使用ARK……ARK也不是万能的。比如以前流行的ZeroAccess等，要不是ithurricane等大神的不懈努力，估计除了格盘重装没啥好办法了。
还有……SYSTEM权限和ring0，这俩应该完全不是一个概念吧……

ccboxes

fakeviolation 发表于 2017-4-19 18:39
我怎么混淆了？

Rootkit是个大的概念，有内核模式的也有用户模式的，它包括Bootkit，不过Bootkit一般 ...

定义不同就没什么好讨论的了。

至于权限问题，虽然严格说R0是处理器规定的权限等级，System是系统自己的权限分类，混在一起说也没关系，当然你要是说NTFS的那个System就不一样了。