Harddrive - уничтожить «скрытые области», такие как HPA и DCO, после заражения вредоносным ПО

9

Фон:

У меня есть некоторые вредоносные программы в Windows, возможно, руткит или буткит. Я не хотел рисковать, поэтому по глупости вытер мой диск с помощью DBAN (PRNG, 8 проходов). Позже стало известно, что DBAN не убивает HPA (Host Protected Area) и DCO (Overlay Configuration Drive Overlay), которые являются «скрытыми областями», используемыми некоторыми жесткими дисками.

Я видел, что HDDErase, созданный CMRR, может удалить HPA и DCO, если он есть, но проект был остановлен в 2005 или 2007 году. Итак, я пришел в Linux hdparmв надежде, что он очистит мой жесткий диск на 100%, чтобы я мог установить Windows снова на 100% чистый жесткий диск. Кроме того, я также посмотрел на «BC Wipe Total Wipeout», который выполняет удаление HPA и DCO, но стоит $ 50.

Я обычный пользователь компьютера с небольшим навыком Bash, то есть я действительно не знаю, что я делаю.

Вопросов:

Мой накопитель Seagate емкостью 320 ГБ 7200 об / мин.

Выход из sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP
  1. Что означает этот вывод? Как я могу гарантировать, что в HPO DCO не останется вредоносного ПО?

  2. Есть ли способ узнать размер с точки зрения ГБ вместо секторов?

  3. Будет hdparmли полное уничтожение всех вредоносных программ, находящихся в HPA и DCO?

Я также видел это на вики-странице и немного волновался:

У hdparm есть более серьезный недостаток: он может дать сбой компьютеру и сделать данные на его диске недоступными при неправильном использовании определенных параметров. Из примерно шестидесяти семи параметров некоторые являются опасными и могут привести к "огромному повреждению файловой системы" при использовании без разбора.

Deen
источник
Hy HDD имеет блок повышения безопасности. Будет ли это полезно при уничтожении HPA и DCO?
Дин
3
Вы просто стерли весь диск, включая все файловые системы, и беспокоитесь о повреждении файловой системы?
Хеннес
по-видимому, жесткий диск «заморожен», чтобы не допустить стирания жесткого диска вредоносными программами в соответствии с - forums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/…
Deen
разморозить как это? - techsupportforum.com/forums/f15/…
Дин
@Hennes - прости, я не понимаю. Возможно, вы пропустили, что я обычный пользователь. пожалуйста, объясните, что вы сказали.
Дин

Ответы:

10

Итак, вытерли диск с DBAN по глупости (PRNG, 8 проходов). Позже стало известно, что DBAN не убивает HPA (защищенная область хоста) и DCO (наложение конфигурации диска)

Итак, у нас есть базовый допуск, что диск был стерт, поэтому на диске нет таблицы разделов, файловой системы или данных. Таким образом, не может быть никакого повреждения данных или файловой системы, поскольку ни один не существует, DBAN обеспечил это, и поэтому следующее предупреждение HDPARM не применимо.

У hdparm есть более серьезный недостаток: он может дать сбой компьютеру и сделать данные на его диске недоступными при неправильном использовании определенных параметров. Из примерно шестидесяти семи параметров некоторые являются опасными и могут привести к "огромному повреждению файловой системы" при использовании без разбора.

Запустите загрузочный диск Linux и запустите hdparm


Чтобы использовать HDPARM для очистки HPA

Для x = устройство, на которое вы нацеливаетесь, используйте следующую команду HDPARM, чтобы показать, включен ли у вас HPA.

# hdparm -N /dev/sdx

Если вы определили HPA, это будет выглядеть примерно так:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Чтобы удалить HPA и расширить видимую область до полного размера диска, используйте знаменатель в приведенном выше отчете (видимая область / макс. Секторы):

# hdparm -N p78165360 /dev/sdx

Он выдаст отчет о том, что видимая область равна максимальному количеству секторов и что HPA отключен.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Использование HDPARM для проверки наличия DCO и возврата к заводским настройкам по умолчанию

Поскольку DCO настроен производителем, вы должны согласиться с тем, что возмущение может привести к поломке диска. Но тогда это наименьшая из ваших проблем, если вы думаете, что у вас есть какое-то сложное вредоносное ПО, которое может на самом деле с ним связываться. Чтобы увидеть DCO, используйте следующую команду HDPARM.

# hdparm --dco-identify /dev/sdx

В вашем примере это дало вам:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Таким образом, ваш производитель дисков использует DCO для определения допустимых режимов передачи данных (MDMA, UDMA), реального размера диска (макс. Секторов) и команд ATA / SATA, которые можно отключить.

Если вы хотите попытаться вернуть DCO к заводским настройкам по умолчанию, вы можете использовать следующую команду HDPARM:

# hdparm --dco-restore /dev/sdx

Он выдаст вам следующее предупреждение о том, что изменение DCO приведет к полной потере данных. Думайте об этом как об изменении размера раздела или уничтожении таблицы разделов и восстановлении ее с неверными параметрами. На вытертом диске вы уже потеряли данные, а? В основном Жаль , что вы не резервное копирование данных , прежде чем продолжить, вы SOL , если ИДК не соответствует после того, как запустить команду, и вы думаете , что - нибудь будет возмещена с диска из - за размера переназначения.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

В соответствии с инструкциями добавьте следующий переключатель «Я принимаю последствия»:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

И это говорит вам:

/dev/sdx:
issuing DCO restore command
Fiasco Labs
источник
2
linux.die.net/man/8/hdparm - Страница справочника - hdparmсамая страшная из всех, что я когда-либо видел.
LawrenceC
1
Да, и все , что возиться с прошивкой , который явно не понял , может привести и в некоторых случаях будет приводить в алюминиевом кирпича с круглыми дискообразными блестящими вещами и с очень мощным магнитом внутри.
Fiasco Labs
Я не хочу кирпичить свой диск, поэтому я не запустил команду восстановления DCO. Я просто продолжу восстановление окон и посмотрю, что произойдет. Если я получу вредоносное ПО, я просто выкину свой жесткий диск и получу новый. Надеюсь, это должно сработать, если только оно не похоже на вредоносное ПО «Ракшаса», которое утверждает, что оно может заразить BIOS и оставаться гораздо более стойким :) google.com/…
Deen
хорошая информация о восстановлении HPA без перезапуска (а также сброса DCO): blog.asiantuntijakaveri.fi/2012/07/…
akostadinov
2

У меня недавно возникла проблема с диском емкостью 1 ТБ, о котором было сообщено как 1 КБ, а диспетчер дисков сообщил об отсутствии носителя. Я использовал бесплатную программу DiskCheckup от Passmark.com.

После запуска программы и выбора поврежденного диска я щелкнул вкладку «скрытый», чтобы найти 3 поля ввода. Первый «Max User LBA» показал только 1: второй и третий (Native и Disk) показали правильный номер. Я установил флажок, чтобы разрешить изменение, и набрал правильный номер в первом поле, чтобы все 3 отображали одинаковое количество LBA. Затем нажмите кнопку «Применить»: все готово.

Вернувшись в диспетчер дисков, я щелкнул «rescan» в меню «Действия», и моя полная информация о разделе вернулась с полным доступом к диску. Возможно, вам придется заменить MBR, если это загрузочный диск, использующий что-то вроде EasyRE.

Извините, раньше искал ответ и не понял, что это сайт Linux, и мой ответ относится только к Windows.

Питер Браун
источник
1

У меня есть несколько советов о том, как очистить жесткий диск. Вы можете увидеть мой ответ здесь -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

Похоже, с открытым исходным кодом не так радужно, как выглядит. Инструмент с закрытыми исходными кодами за 50 $ может сделать работу для меня, но я не купил это, потому что это слишком дорого.

Deen
источник