GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Festplatte – löschen Sie versteckte Bereiche wie HPA und DCO nach einer Malware-Infektion

Also Laufwerk mit DBAN dummerweise abgewischt (PRNG, 8 Pass). Später erfuhr ich, dass DBAN HPA (Host Protected Area) und DCO (Drive Configuration Overlay) nicht tötet

Wir haben hier also eine grundlegende Annahme, dass das Laufwerk gelöscht wurde, daher befinden sich keine Partitionstabelle, kein Dateisystem oder keine Daten auf dem Laufwerk. Es kann also keine Datenbeschädigung oder Dateisystembeschädigung geben, da DBAN dies sichergestellt hat, und daher ist die folgende HDPARM-Warnung nicht anwendbar.

hdparm hat einen schwerwiegenderen Nachteil:Es kann einen Computer zum Absturz bringen und Daten auf seiner Festplatte unzugänglich machen, wenn bestimmte Parameter missbraucht werden. Von ungefähr siebenundsechzig Parametern sind mehrere gefährlich und könnten bei wahlloser Verwendung zu einer "massiven Beschädigung des Dateisystems" führen.

Starten Sie Ihre Linux-Bootdiskette und führen Sie hdparm aus

Zur Verwendung von HDPARM zum Löschen des HPA

Verwenden Sie für x =Zielgerät den folgenden HDPARM-Befehl, um anzuzeigen, ob HPA aktiviert ist.

# hdparm -N /dev/sdx

Es wird etwa Folgendes ausspucken, wenn Sie eine HPA definiert haben:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Um die HPA zu entfernen und den sichtbaren Bereich auf die volle Größe des Laufwerks zu erweitern, verwenden Sie den Nenner im obigen Bericht (sichtbarer Bereich/maximale Sektoren):

# hdparm -N p78165360 /dev/sdx

Es wird eine Meldung ausspucken, dass der sichtbare Bereich gleich den maximalen Sektoren ist und dass der HPA deaktiviert ist.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Zur Verwendung von HDPARM, um zu prüfen, ob ein DCO vorhanden ist, und es auf die Werkseinstellungen zurückzusetzen

Da der DCO vom Hersteller eingerichtet wird, müssen Sie akzeptieren, dass das Herumbasteln möglicherweise das Laufwerk zerstört. Aber das ist das geringste Ihrer Probleme, wenn Sie glauben, dass Sie eine ausgeklügelte Malware haben, die tatsächlich damit herumspielen könnte. Um das DCO anzuzeigen, verwenden Sie den folgenden HDPARM-Befehl.

# hdparm --dco-identify /dev/sdx

In Ihrem Beispiel haben Sie Folgendes erhalten:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Ihr Laufwerkshersteller verwendet also DCO, um die zulässigen Datenübertragungsmodi (MDMA, UDMA), die tatsächliche Größe des Laufwerks (maximale Sektoren) und ATA/SATA-Befehle zu definieren, die deaktiviert werden können.

Wenn Sie versuchen möchten, den DCO auf die Werkseinstellungen zurückzusetzen, können Sie den folgenden HDPARM-Befehl verwenden:

# hdparm --dco-restore /dev/sdx

Es wird Ihnen die folgende Warnung ausspucken, dass das Ändern des DCO zu einem totalen Datenverlust führen wird. Stellen Sie sich vor, Sie ändern die Partitionsgröße oder löschen die Partitionstabelle und stellen sie mit falschen Parametern wieder her. Auf einer gelöschten Festplatte haben Sie die Daten bereits verloren, oder? Grundsätzlich ein Tut mir leid, dass Sie Ihre Daten nicht gesichert haben, bevor Sie fortfahren. Sie sind SOL, wenn das DCO nach der Ausführung des Befehls nicht übereinstimmt und Sie glauben, dass aufgrund der Größenneuzuweisung alles vom Laufwerk wiederhergestellt werden kann.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Gemäß den Anweisungen fügen Sie den folgenden Schalter "Ich akzeptiere die Konsequenzen" hinzu:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Und es sagt Ihnen:

/dev/sdx:
issuing DCO restore command

Ich hatte kürzlich ein Problem mit einem 1-TB-Laufwerk, das als 1 KB gemeldet wurde, und der Datenträger-Manager hat keine Medien gemeldet. Ich habe ein kostenloses Programm namens DiskCheckup von Passmark.com verwendet.

Nachdem ich das Programm ausgeführt und die betroffene Festplatte ausgewählt hatte, klickte ich auf die Registerkarte „Versteckt“, um 3 Eingabefelder zu finden. Die erste „Max User LBA“ zeigte nur 1:die zweite und dritte (Native und Disk) zeigten die richtige Zahl. Ich aktivierte das Kontrollkästchen, um Änderungen zuzulassen, und tippte die richtige Nummer in das erste Feld ein, sodass alle 3 dieselbe LBA-Nummer zeigten. Klicken Sie dann auf die Schaltfläche „Übernehmen“:fertig.

Zurück in der Datenträgerverwaltung klickte ich im Menü „Aktionen“ auf „Erneut scannen“ und meine vollständigen Partitionsinformationen waren wieder mit vollem Zugriff auf das Laufwerk vorhanden. Es kann sein, dass Sie den MBR ersetzen müssen, wenn es sich um ein bootfähiges Laufwerk handelt, das etwas wie EasyRE verwendet.

Entschuldigung, ich habe vorhin nach einer Antwort gesucht und nicht bemerkt, dass dies eine Linux-Site ist und meine Antwort nur für Windows gilt.


Linux
  1. Installieren und verwenden Sie den Wget-Befehl wie ein Profi (13 Tipps)

  2. Bash-Zeilenfortsetzungen nach &&und || Dokumentiert?

  3. Unterschiede zwischen Volume, Partition und Laufwerk?

  4. Wie erkennt und findet man heraus, dass sich ein Programm im Deadlock befindet?

  5. Systemd-Unit-Datei - WantedBy und After

So partitionieren und formatieren Sie ein Laufwerk unter Linux

So finden Sie Festplattendetails in Linux

So vergrößern und verkleinern Sie Videos mit FFmpeg

Überwachung und Testen des Zustands von SSD in Linux

So löschen Sie eine Festplatte sicher – Schritt für Schritt

So installieren und konfigurieren Sie Linux Malware Detect (LMD) unter Linux