Dysk twardy - usuń „ukryte obszary”, takie jak HPA i DCO po infekcji złośliwym oprogramowaniem

9

Tło:

Mam trochę złośliwego oprogramowania w systemie Windows, prawdopodobnie rootkita lub bootkita. Nie chciałem ryzykować, więc niemądrze wyczyściłem swój dysk DBAN (PRNG, 8 przebiegów). Później dowiedziałem się, że DBAN nie zabija HPA (Host Protected Area) ani DCO (Overlay Configuration Drive), które są „ukrytymi obszarami” wykorzystywanymi przez niektóre dyski twarde.

Widziałem, że HDDErase wykonane przez CMRR może usunąć HPA i DCO, jeśli są obecne, ale projekt został zatrzymany w 2005 lub 2007 roku. Więc przyszedłem do Linuksa hdparmw nadziei, że wyczyści mój dysk twardy w 100%, aby móc zainstalować system Windows ponownie na 100% czystym dysku twardym. Nawiasem mówiąc, spojrzałem również na „BC Wipe Total Wipeout”, który usuwa HPA i DCO, ale kosztuje 50 USD.

Jestem przeciętnym użytkownikiem komputera z niewielkimi umiejętnościami Bash, tzn. Tak naprawdę nie wiem, co robię.

Pytania:

Mój dysk to dysk Seagate o pojemności 320 GB i prędkości 7200 obr./min.

Wyjście sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP
  1. Co oznacza ten wynik? Jak mogę się upewnić, że nie ma możliwości pozostania złośliwego oprogramowania w DCA HPA?

  2. Czy istnieje sposób, aby dowiedzieć się o wielkości w GB zamiast w sektorach?

  3. Czy hdparmcałkowicie wyczyści wszystkie złośliwe oprogramowanie znajdujące się w HPA i DCO?

Widziałem to również na stronie Wiki i trochę się martwiłem:

hdparm ma poważniejszą wadę: może spowodować awarię komputera i uniemożliwić dostęp do danych na dysku, jeśli niektóre parametry zostaną niewłaściwie wykorzystane. Spośród około sześćdziesięciu siedmiu parametrów kilka z nich jest niebezpiecznych i może powodować „masowe uszkodzenie systemu plików”, gdy są używane bez rozróżnienia.

Deen
źródło
hy hdd ma ULEPSZONĄ JEDNOSTKĘ KASOWANIA BEZPIECZEŃSTWA. Czy będzie to przydatne w usuwaniu HPA i DCO?
Deen
3
Właśnie wyczyściłeś cały dysk, w tym wszystkie systemy plików, i martwisz się uszkodzeniem systemu plików?
Hennes,
najwyraźniej dysk twardy jest „zamrożony”, aby uniemożliwić złośliwemu oprogramowaniu wymazywanie dysku twardego zgodnie z - forums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/…
Deen
odmrozić w ten sposób? - techsupportforum.com/forums/f15/…
Deen
@Hennes - przepraszam, nie rozumiem. Mogłeś przegapić, że jestem przeciętnym użytkownikiem. proszę wyjaśnij co powiedziałeś.
Deen

Odpowiedzi:

10

Więc niemądrze wyczyściłem dysk DBAN (PRNG, 8 przebiegów). Później dowiedział się, że DBAN nie zabija HPA (obszar chroniony przez hosta) i DCO (nakładka konfiguracji napędu)

Mamy więc podstawowe przyznanie, że dysk został wyczyszczony, więc na dysku nie ma tablicy partycji, systemu plików ani danych. Tak więc nie może wystąpić uszkodzenie danych lub uszkodzenie systemu plików, ponieważ żadne z nich nie istnieje, DBAN to zapewnił, dlatego poniższe ostrzeżenie HDPARM nie ma zastosowania.

hdparm ma poważniejszą wadę: może spowodować awarię komputera i uniemożliwić dostęp do danych na dysku, jeśli niektóre parametry zostaną niewłaściwie wykorzystane. Spośród około sześćdziesięciu siedmiu parametrów kilka z nich jest niebezpiecznych i może powodować „masowe uszkodzenie systemu plików”, gdy są używane bez rozróżnienia.

Uruchom dysk rozruchowy systemu Linux i uruchom hdparm


Aby użyć HDPARM do wyczyszczenia HPA

Dla x = urządzenie, na które celujesz, użyj następującego polecenia HDPARM, aby pokazać, czy masz włączoną funkcję HPA.

# hdparm -N /dev/sdx

Jeśli zdefiniujesz HPA, to wypluje coś takiego:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Aby usunąć HPA i rozszerzyć widoczny obszar do pełnego rozmiaru dysku, użyj mianownika w powyższym raporcie (widoczny obszar / maks. Sektory):

# hdparm -N p78165360 /dev/sdx

Wypluje raport, że widoczny obszar jest równy maksymalnej liczbie sektorów i że HPA jest wyłączone.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Aby użyć HDPARM, aby sprawdzić, czy DCO jest na miejscu i przywrócić ustawienia fabryczne

Ponieważ DCO jest ustawiany przez producenta, musisz zaakceptować, że bałagan z nim prawdopodobnie spowoduje uszkodzenie dysku. Ale to najmniejszy z twoich problemów, jeśli uważasz, że masz wyrafinowane złośliwe oprogramowanie, które może z nim zadzierać. Aby zobaczyć DCO, użyj następującego polecenia HDPARM.

# hdparm --dco-identify /dev/sdx

W twoim przykładzie dał ci:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Tak więc producent napędu używa DCO do zdefiniowania dopuszczalnych trybów przesyłania danych (MDMA, UDMA), rzeczywistej wielkości napędu (maks. Sektorów) oraz poleceń ATA / SATA, które można wyłączyć.

Jeśli chcesz spróbować przywrócić DCO do fabrycznych ustawień domyślnych, możesz użyć następującego polecenia HDPARM:

# hdparm --dco-restore /dev/sdx

Wypluje na ciebie następujące ostrzeżenie, że zmiana DCO spowoduje całkowitą utratę danych. Pomyśl o tym jak o zmianie rozmiaru partycji lub wyczyszczeniu tablicy partycji i przywróceniu jej z niepoprawnymi parametrami. Na wyczyszczonym dysku już straciłeś dane, co? Zasadniczo przepraszam, że nie wykonałeś kopii zapasowej danych przed kontynuowaniem, jesteś SOL, jeśli DCO nie pasuje po uruchomieniu polecenia i uważasz, że wszystko będzie można odzyskać z dysku z powodu zmiany rozmiaru.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Zgodnie z instrukcjami dodajesz następujący przełącznik „Akceptuję konsekwencje”:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

I mówi ci:

/dev/sdx:
issuing DCO restore command
Fiasco Labs
źródło
2
linux.die.net/man/8/hdparm - Strona hdparmpodręcznika użytkownika jest najbardziej przerażająca, jaką kiedykolwiek widziałem.
LawrenceC
1
Tak, i nic niepożądanym oprogramowaniem, które nie jest jednoznacznie rozumiane i może spowodować w niektórych przypadkach będzie skutkować w cegle aluminiowej z okrągłymi dyskoidalnym błyszczące rzeczy i bardzo silny magnes.
Fiasco Labs
Nie chcę zamrozić dysku, więc nie uruchomiłem polecenia przywracania DCO. Zacznę od przywracania systemu Windows i zobaczę, co się stanie. Jeśli dostanę złośliwe oprogramowanie, po prostu wyrzucę dysk twardy i otrzymam nowy. Mam nadzieję, że powinno to działać, chyba że jest to złośliwe oprogramowanie typu „Rakshasa”, które twierdzi, że może zainfekować BIOS i pozostać o wiele bardziej trwałe :) google.com/…
Deen
dobre informacje o odzyskiwaniu HPA bez restartu (a także resetowania DCO): blog.asiantuntijakaveri.fi 2012/07/07
akostadinov 11.01.2018
2

Miałem niedawno problem z dyskiem 1 TB zgłoszonym jako 1 KB, a Menedżer dysków nie zgłosił żadnego nośnika. Użyłem darmowego programu DiskCheckup z Passmark.com.

Po uruchomieniu programu i wybraniu dysku, którego dotyczy problem, kliknąłem kartę „ukryty”, aby znaleźć 3 pola wprowadzania. Pierwszy „Max User LBA” pokazywał tylko 1: drugi i trzeci (macierzysty i dysk) pokazywały prawidłową liczbę. Zaznaczyłem pole wyboru, aby umożliwić zmianę i wpisałem poprawny numer do pierwszego pola, aby wszystkie 3 pokazywały tę samą liczbę LBA. Następnie kliknij przycisk „Zastosuj”: wszystko gotowe.

Po powrocie do Menedżera dysków kliknąłem polecenie „ponownie skanuj” w menu Akcje, a moje pełne informacje o partycji wróciły z pełnym dostępem do napędu. Być może będziesz musiał wymienić MBR, jeśli jest to dysk rozruchowy z użyciem czegoś takiego jak EasyRE.

Przepraszam, szukałem wcześniej odpowiedzi i nie zdawałem sobie sprawy, że to jest witryna Linux, a moja odpowiedź dotyczy tylko systemu Windows.

Peter Brown
źródło
1

Mam kilka wskazówek, jak wyczyścić dysk twardy w czystości. Możesz zobaczyć moją odpowiedź tutaj -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

Wygląda na to, że open source nie jest tak różowy, jak się wydaje. Narzędzie o zamkniętym źródle o wartości 50 USD może dla mnie wykonać tę pracę, ale nie kupiłem go, ponieważ jest zbyt drogi.

Deen
źródło