Festplatte - Löschen Sie "versteckte Bereiche" wie HPA und DCO nach einer Malware-Infektion

9

Hintergrund:

Ich habe Malware in Windows, möglicherweise ein Rootkit oder Bootkit. Ich wollte kein Risiko eingehen, also habe ich mein Laufwerk mit DBAN (PRNG, 8 Pass) törichterweise abgewischt. Später wurde bekannt, dass DBAN weder HPA (Host Protected Area) noch DCO (Drive Configuration Overlay) beendet, die "versteckte Bereiche" sind, die von einigen Festplatten verwendet werden.

Ich habe gesehen, dass HDDErase von CMRR HPA und DCO entfernen kann, falls vorhanden, aber das Projekt wurde 2005 oder 2007 gestoppt. Also bin ich zu Linux gekommen, hdparmin der Hoffnung, dass meine Festplatte zu 100% sauber wird, damit ich Windows installieren kann wieder auf einer 100% sauberen Festplatte. Nebenbei habe ich mir auch "BC Wipe Total Wipeout" angesehen, das HPA- und DCO-Entfernung durchführt, aber 50 US-Dollar kostet.

Ich bin ein durchschnittlicher Computerbenutzer mit geringen Bash-Kenntnissen, dh ich weiß nicht wirklich, was ich tue.

Fragen:

Mein Laufwerk ist ein Seagate-Laufwerk mit 320 GB und 7200 U / min.

Die Ausgabe von sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

  1. Was bedeutet diese Ausgabe? Wie stelle ich sicher, dass keine Malware auf dem HPA DCO verbleibt?

  2. Gibt es eine Möglichkeit, die Größe in GB anstelle von Sektoren zu ermitteln?

  3. Wird hdparmdie gesamte Malware, die sich in HPA und DCO befindet, vollständig gelöscht?

Ich habe das auch auf der Wiki-Seite gesehen und war ein wenig besorgt:

hdparm hat einen schwerwiegenderen Nachteil: Es kann einen Computer zum Absturz bringen und Daten auf seiner Festplatte unzugänglich machen, wenn bestimmte Parameter missbraucht werden. Von ungefähr siebenundsechzig Parametern sind mehrere gefährlich und können bei wahlloser Verwendung zu einer "massiven Beschädigung des Dateisystems" führen.

linux  windows  hard-drive  malware  secure-erase 
Deen
quelle
hy hdd hat die SICHERHEITSLÖSCHEINHEIT VERBESSERT. Wird das nützlich sein, um HPA und DCO auszulöschen?
Deen
3
Sie haben gerade die gesamte Festplatte einschließlich aller darauf befindlichen Dateisysteme gelöscht und sind besorgt über die Beschädigung des Dateisystems?
Hennes
Anscheinend ist die Festplatte "eingefroren", um zu verhindern, dass Malware die Festplatte gemäß - forums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/…
Deen
Deen
@ Hennes - Entschuldigung, ich verstehe nicht. Sie haben vielleicht übersehen, dass ich ein durchschnittlicher Benutzer bin. Bitte erklären Sie, was Sie gesagt haben.
Deen

Antworten:

10

Also, Laufwerk mit DBAN dumm abgewischt (PRNG, 8 Pass). Später wurde bekannt, dass DBAN HPA (Host Protected Area) und DCO (Drive Configuration Overlay) nicht beendet.

Wir haben hier also eine Grundzulassung, dass das Laufwerk gelöscht wurde, sodass sich keine Partitionstabelle, kein Dateisystem oder keine Daten auf dem Laufwerk befinden. Es kann also keine Beschädigung von Daten oder Dateisystemen geben, da keine vorhanden sind, da DBAN dies sichergestellt hat und die folgende HDPARM-Warnung nicht anwendbar ist.

hdparm hat einen schwerwiegenderen Nachteil: Es kann einen Computer zum Absturz bringen und Daten auf seiner Festplatte unzugänglich machen, wenn bestimmte Parameter missbraucht werden. Von ungefähr siebenundsechzig Parametern sind mehrere gefährlich und können bei wahlloser Verwendung zu einer "massiven Beschädigung des Dateisystems" führen.

Starten Sie Ihre Linux-Bootdiskette und führen Sie sie aus hdparm

So verwenden Sie HDPARM zum Löschen des HPA

Verwenden Sie für x = Gerät, auf das Sie abzielen, den folgenden HDPARM-Befehl, um anzuzeigen, ob Sie HPA aktiviert haben.

# hdparm -N /dev/sdx

Wenn Sie eine HPA definiert haben, wird Folgendes zurückgespuckt:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Verwenden Sie den Nenner im obigen Bericht (sichtbarer Bereich / maximale Sektoren), um den HPA zu entfernen und den sichtbaren Bereich auf die volle Größe des Laufwerks auszudehnen:

# hdparm -N p78165360 /dev/sdx

Es wird ein Bericht zurückgespuckt, dass der sichtbare Bereich den maximalen Sektoren entspricht und dass die HPA deaktiviert ist.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

So verwenden Sie HDPARM, um zu überprüfen, ob ein DCO vorhanden ist, und setzen Sie ihn auf die Werkseinstellungen zurück

Da der DCO vom Hersteller eingerichtet wurde, müssen Sie akzeptieren, dass ein Durcheinander möglicherweise das Laufwerk blockiert. Aber das ist das geringste Ihrer Probleme, wenn Sie glauben, dass Sie eine hochentwickelte Malware haben, die sich tatsächlich damit herumschlagen könnte. Verwenden Sie den folgenden HDPARM-Befehl, um den DCO anzuzeigen.

# hdparm --dco-identify /dev/sdx

In Ihrem Beispiel gab es Ihnen:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Daher verwendet Ihr Laufwerkshersteller DCO, um die zulässigen Datenübertragungsmodi (MDMA, UDMA), die tatsächliche Größe des Laufwerks (max. Sektoren) und ATA / SATA-Befehle zu definieren, die deaktiviert werden können.

Wenn Sie versuchen möchten, den DCO auf die Werkseinstellungen zurückzusetzen, können Sie den folgenden HDPARM-Befehl verwenden:

# hdparm --dco-restore /dev/sdx

Die folgende Warnung wird an Sie zurückgespuckt, dass das Ändern des DCO zu einem vollständigen Datenverlust führt. Stellen Sie sich vor, Sie ändern die Partitionsgröße oder löschen die Partitionstabelle und stellen sie mit falschen Parametern wieder her. Auf einer gelöschten Festplatte haben Sie die Daten bereits verloren, oder? Grundsätzlich a Entschuldigung, dass Sie Ihre Daten nicht gesichert haben, bevor Sie fortfahren. Sie sind SOL, wenn der DCO nach dem Ausführen des Befehls nicht übereinstimmt und Sie glauben, dass aufgrund einer Größenzuweisung alles vom Laufwerk wiederhergestellt werden kann.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Gemäß den Anweisungen fügen Sie den folgenden Schalter "Ich akzeptiere die Konsequenzen" hinzu:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Und es sagt dir:

/dev/sdx:
issuing DCO restore command
Fiasko-Labore
quelle
2
linux.die.net/man/8/hdparm - Die Manpage für hdparmist die gruseligste, die ich je gesehen habe.
LawrenceC
1
Ja, und Unordnung nichts mit der Firmware , die nicht explizit kann zur Folge hat und zu verstehen ist in einigen Fällen wird zur Folge hat in einem Aluminium - Ziegel mit runden discoid glänzen und ein sehr starken Magneten im Innern.
Fiasco Labs
Ich möchte mein Laufwerk nicht blockieren, daher habe ich den DCO-Wiederherstellungsbefehl nicht ausgeführt. Ich werde einfach eine Fensterrestaurierung durchführen und sehen, was passiert. Wenn ich Malware bekomme, werfe ich einfach meine Festplatte raus und hole eine neue. Hoffentlich sollte das funktionieren, es sei denn, es ist wie die "Rakshasa" -Malware, die behauptet, sie könne das BIOS infizieren und viel beständiger bleiben :) google.com/…
Deen
Gute Infos zum Wiederherstellen von HPA ohne Neustart (sowie zum Zurücksetzen des DCO): blog.asiantuntijakaveri.fi/2012/07/…
akostadinov
2

Ich hatte kürzlich ein Problem mit einem 1-TB-Laufwerk, das als 1 KB gemeldet wurde, und Disk Manager meldete keine Medien. Ich habe ein kostenloses Programm namens DiskCheckup von Passmark.com verwendet.

Nachdem ich das Programm ausgeführt und die betroffene Festplatte ausgewählt hatte, klickte ich auf die Registerkarte "Versteckt", um 3 Eingabefelder zu finden. Der erste 'Max User LBA' zeigte nur 1: der zweite und dritte (Native und Disk) zeigten die richtige Nummer. Ich habe das Kontrollkästchen aktiviert, um Änderungen zuzulassen, und die richtige Nummer in das erste Feld eingegeben, sodass alle 3 die gleiche Anzahl von LBA zeigten. Klicken Sie dann auf die Schaltfläche "Übernehmen": Alles erledigt.

Zurück im Festplatten-Manager habe ich im Menü Aktionen auf "Erneut scannen" geklickt, und meine vollständigen Partitionsinformationen waren wieder verfügbar, und ich hatte vollen Zugriff auf das Laufwerk. Es kann sein, dass Sie den MBR ersetzen müssen, wenn es sich um ein bootfähiges Laufwerk handelt, das EasyRE verwendet.

Entschuldigung, ich habe früher nach einer Antwort gesucht und nicht bemerkt, dass dies eine Linux-Site ist. Meine Antwort gilt nur für Windows.

Peter Brown
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.