Disco duro: borre las "áreas ocultas" como HPA y DCO también después de la infección de malware

8

Fondo -

Malware en Windows (sí), posiblemente rootkit / bootkit. No quiero correr ningún riesgo. Por lo tanto, limpie la unidad con DBAN tontamente (PRNG, 8 pases). Más tarde, supimos que DBAN no elimina HPA (área protegida por el host) y DCO (Superposición de configuración de la unidad) que son "áreas ocultas" (si están presentes) en un disco duro. Vio que HDDErase hecho por CMRR puede eliminar DCO y HPA, si están presentes. Pero el proyecto se detuvo en 2005 o 7. Así que vine a HDPARM de Linux con la esperanza de que limpie mi HDD al 100% para que pueda Instale Windows de nuevo en un disco duro 100% limpio. . Dejando de lado, también observé "BC Wipe Total Wipeout", que elimina HPA y DCO a $ 50.

Configuración actual - Ubuntu 11 en 3.6GB usb flash / stick drive. Mi HDD no tiene sistema operativo.

Yo: usuario promedio de computadora con poca habilidad de bash, es decir, realmente no sé lo que estoy haciendo.

Preguntas -

  • Si quieres ver la presencia de HPA, tienes uso. hdparm -N /dev/sda. Muestra Me la cantidad de sectores y que HPA está deshabilitado.

    • ¿Qué es esto / dev / sda? ¿Es mi disco duro o dispositivo de memoria USB en el que tengo ubuntu? Supongo que es el disco duro porque probé un comando y vi la descripción de un Disco duro en los resultados. Lo intenté sudo hdpamr -I /dev/sda. Aquí está algo de la salida -

      Dispositivo ATA, con medios no extraíbles. Número de modelo: ST320LT007-9ZV142

Es una unidad Seagate de 320 GB, 7200 rpm.

Salida de sudo hdparm --dco-identify /dev/sda

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP
  • ¿Qué significa esta salida DCO? ¿Cómo me aseguro de que no haya posibilidad de malware en el DCO?

  • ¿Hay una manera de averiguar el tamaño en términos de GB en lugar de sectores?

  • ¿Hdparm realizará una limpieza del 100% en el disco duro para eliminar el malware que reside en HPA y DCO? Vi esto en la página wiki y estaba un poco preocupado -

hdparm tiene un inconveniente más serio: puede bloquear una computadora y hacer que los datos de su disco sean inaccesibles si se utilizan incorrectamente ciertos parámetros. De aproximadamente sesenta y siete parámetros, varios son peligrosos y podrían resultar en "corrupción masiva del sistema de archivos" cuando se usan indiscriminadamente.

Deen
fuente
hy hdd ha mejorado la unidad de borrado de seguridad. ¿Será útil para eliminar el HPA y el DCO?
Deen
3
¿Acaba de borrar todo el disco, incluidos todos los sistemas de archivos, y le preocupa la corrupción del sistema de archivos?
Hennes
al parecer, el disco duro está "congelado" para evitar que el malware borre el disco duro como se indica forums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/…
Deen
descongelar así? - techsupportforum.com/forums/f15/…
Deen
@Hennes - lo siento, no entiendo. Podrías haberte olvidado que soy un usuario promedio. por favor explica lo que dijiste
Deen

Respuestas:

8

Por lo tanto, limpie la unidad con DBAN tontamente (PRNG, 8 pases). Más tarde se enteró de que DBAN no elimina HPA (área protegida del host) y DCO (superposición de configuración de la unidad)

Por lo tanto, tenemos una admisión básica aquí que se borró la unidad, por lo que no hay tabla de particiones, sistema de archivos ni datos en la unidad. Por lo tanto, no puede haber corrupción de datos o corrupción del sistema de archivos ya que ninguno existe, DBAN lo ha asegurado y por lo tanto la siguiente advertencia HDPARM no es aplicable.

hdparm tiene un inconveniente más serio: puede bloquear una computadora y hacer que los datos de su disco sean inaccesibles si se utilizan incorrectamente ciertos parámetros. De aproximadamente sesenta y siete parámetros, varios son peligrosos y podrían resultar en "corrupción masiva del sistema de archivos" cuando se usan indiscriminadamente.

Enciende tu disco de arranque de Linux y ejecuta hdparm


Para utilizar HDPARM para borrar el HPA

Para x = el dispositivo al que está apuntando, use el siguiente comando HDPARM para mostrar si tiene un HPA habilitado.

# hdparm -N /dev/sdx

Le devolverá algo como lo siguiente si tiene un HPA definido:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Para eliminar el HPA y expandir el área visible al tamaño completo de la unidad, use el denominador en el informe anterior (área visible / sectores máximos):

# hdparm -N p78165360 /dev/sdx

Volverá a escupir un informe que el área visible es igual a los sectores máximos y que el HPA está deshabilitado.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Para usar HDPARM para verificar si un DCO está en su lugar y restablecerlo a los valores predeterminados de fábrica

Debido a que el DCO está configurado por el fabricante, debe aceptar que al jugar con él posiblemente se bloquee la unidad. Pero ese es el menor de tus problemas si crees que tienes un malware sofisticado que realmente podría meterse con él. Para ver el DCO, use el siguiente comando HDPARM.

# hdparm --dco-identify /dev/sdx

En tu ejemplo, te dio:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Por lo tanto, el fabricante de su unidad utiliza DCO para definir los modos de transferencia de datos permitidos (MDMA, UDMA), el tamaño real de la unidad (sectores máximos) y los comandos ATA / SATA que se pueden desactivar.

Si desea revertir el DCO a los valores predeterminados de fábrica, puede usar el siguiente comando HDPARM:

# hdparm --dco-restore /dev/sdx

Le devolverá la siguiente advertencia de que cambiar el DCO causará la pérdida total de datos. Piense en ello como cambiar el tamaño de la partición o borrar la tabla de particiones y restaurarla con parámetros incorrectos. En un disco borrado, ya ha perdido los datos, ¿eh? Básicamente un Lamento que no haya realizado una copia de seguridad de sus datos antes de continuar, está SOL si el DCO no coincide después de ejecutar el comando y cree que todo será recuperable de la unidad debido a la reasignación de tamaño.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Siguiendo las instrucciones, agregue el siguiente interruptor "Acepto las consecuencias":

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Y te dice:

/dev/sdx:
issuing DCO restore command
Fiasco Labs
fuente
1
linux.die.net/man/8/hdparm - La página del manual para hdparm Es el más aterrador que he visto.
LawrenceC
Sí, y cualquier cosa que ensucie con el firmware que no se entiende explícitamente puede resultar y en algunos casos será resultado En un ladrillo de aluminio con objetos redondos y brillantes, y un imán muy poderoso en su interior.
Fiasco Labs
No quiero bloquear mi disco duro por lo que no ejecuté el comando de restauración DCO. Voy a seguir adelante con una restauración de Windows y ver qué pasa. Si obtengo malware, solo tiraré mi disco duro y obtendré uno nuevo. Esperemos que funcione, a menos que sea como el malware "Rakshasa" que afirma que puede infectar el BIOS y permanecer mucho más persistente :) google.com/…
Deen
buena información sobre la recuperación de HPA sin reinicio (y reinicio de DCO): blog.asiantuntijakaveri.fi/2012/07/…
akostadinov
2

He tenido un problema reciente con un disco de 1TB reportado como 1KB y Disk Manager no reportó ningún medio. Utilicé un programa gratuito llamado DiskCheckup de Passmark.com.

Después de ejecutar el programa y seleccionar el disco afectado, hice clic en la pestaña 'oculta' para encontrar 3 cuadros de entrada. El primer 'Max User LBA' mostró solo 1: el segundo y el tercero (Nativo y Disco) mostraron el número correcto. Marqué la casilla de verificación para permitir la alteración y tecleé el número correcto en la primera casilla para que los 3 mostraran el mismo número de LBA. Luego, haga clic en el botón 'Aplicar': todo listo.

De vuelta en el Administrador de discos, hice clic en 'reexplorar' en el menú Acciones y mi información completa de la partición regresó con acceso completo a la unidad. Es posible que tenga que reemplazar el MBR si se trata de una unidad de arranque que utiliza algo como EasyRE.

Lo sentimos, buscaba una respuesta anteriormente y no me había dado cuenta de que era un sitio de Linux y mi respuesta solo se aplica a Windows.

Peter Brown
fuente