A Cisco cég Talos csapata fejlesztette ki az MBRFilter elnevezésű, nyílt forráskódú eszközt, amely megakadályozza a mester boot rekord módosítását azáltal, hogy a merevlemez nulladik szektorát csak olvasható állapotba hozza. Mind a 32 bites, mind a 64 bites Windows-változatokon futtatható, forráskódját a GitHubon tették közzé.
A mester boot rekord (MBR) végrehajtható kódot tárol a merevlemez-meghajtó első (nulladik jelű) szektorában, amely elindítja az operációs rendszert betöltő szoftvert (bootloadert). Ugyancsak tartalmaz információkat a lemezpartíciókról és a használt fájlrendszerről.
Mivel az MBR kód még az operációs rendszer elindulása előtt végrehajtódik, módosításával a rosszindulatú programok képesek elrejteni magukat a szintén később induló antivírus programok elől. Az MBR-t megfertőző vírusok bootkit néven ismertek, a Microsoft korábban a bootloader kriptografikus hitelesítésének bevezetésével vette fel a harcot a bootkitek ellen a Windows 8-as és későbbi változataiban. A Secure Boot elnevezésű funkció a Unified Extensible Firmware Interface-en (UEFI), a modern BIOS-on alapszik.
Problémát jelent azonban, hogy a Secure Boot nem működik minden számítógépen és Windows-verzióban, így még mindig rengeteg PC sebezhető az MBR támadásokkal szemben. Jól tudják ezt a zsarolóprogramok írói is, akik kihasználják ezt a sérülékenységet. Így például a márciusban megjelent Petya zsarolóvírus rosszindulatú kóddal cseréli fel az MBR-t, amely titkosítja az operációs rendszernek otthont adó partíció mester fájltábláját (MFT), amikor a számítógépet újraindítják.
Az NTFS partíciók speciális MFT fájlja tartalmazza minden egyes fájl adatait és a lemezszektorokban való elhelyezkedésüket. Titkosítása használhatatlanná teszi a teljes rendszerpartíciót és ezzel a számítógépet is.
Ugyancsak az MBR-t támadja a Satana zsarolóvírus, amely nem az MFT-t, hanem az eredeti MBR kódot titkosítja, majd felváltja saját kódjával, amely aztán megjeleníti a képernyőn a váltságdíjat kérő üzenetet.
Ezeket a rosszindulatú változtatásokat akadályozza meg az MBRFilter, amely blokkolja a nulladik szektorba irányuló írási kísérleteket a rendszerben lévő összes merevlemez esetében. Telepítése után csak a Windows csökkentett módjában lehet módosítani a meghajtók nulladik szektorát.
