Harddrive - hapus "area tersembunyi" seperti HPA dan DCO setelah infeksi malware

9

Latar Belakang:

Saya mendapatkan beberapa malware di Windows, mungkin rootkit atau bootkit. Saya tidak ingin mengambil risiko, jadi dengan bodoh menyeka drive saya dengan DBAN (PRNG, 8 pass). Belakangan diketahui bahwa DBAN tidak membunuh HPA (Host Protected Area) atau dan DCO (Drive Configuration Overlay) yang merupakan "area tersembunyi" yang digunakan oleh beberapa hard drive.

Saya melihat bahwa HDDErase yang dibuat oleh CMRR dapat menghapus HPA dan DCO jika ada, tetapi proyek itu dihentikan pada tahun 2005 atau 2007. Jadi, saya datang ke Linux hdparmdengan harapan akan menghapus HDD saya 100% bersih sehingga saya dapat menginstal Windows lagi pada hard drive yang 100% bersih. Sebagai tambahan, saya juga melihat "BC Wipe Total Wipeout" yang melakukan penghapusan HPA dan DCO tetapi biaya $ 50.

Saya pengguna komputer biasa dengan sedikit keterampilan Bash yaitu saya tidak benar-benar tahu apa yang saya lakukan.

Pertanyaan:

Drive saya adalah drive Seagate 320GB 7200RPM.

Output dari sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP
  1. Apa artinya output ini? Bagaimana saya memastikan bahwa tidak ada kemungkinan malware tersisa di HPA DCO?

  2. Apakah ada cara untuk mengetahui ukuran dalam hal GB daripada sektor?

  3. Akankah hdparmmenghapus seluruh malware yang ada di HPA dan DCO?

Saya juga melihat ini di halaman Wiki dan sedikit khawatir:

hdparm memiliki kelemahan yang lebih serius: hdparm dapat crash komputer dan membuat data pada disk tidak dapat diakses jika parameter tertentu disalahgunakan. Dari sekitar enam puluh tujuh parameter, beberapa berbahaya dan dapat mengakibatkan "korupsi sistem file besar-besaran" ketika digunakan tanpa pandang bulu.

Dien
sumber
hy hdd telah MENINGKATKAN UNIT ERASE KEAMANAN. Apakah itu berguna dalam menghapus HPA dan DCO?
Deen
3
Anda baru saja menghapus seluruh disk termasuk semua filesystem di dalamnya, dan Anda khawatir tentang korupsi filesystem?
Hennes
rupanya hdd "dibekukan" untuk mencegah malware menghapus harddisk sesuai - forums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/…
Deen
mencairkan seperti ini? - techsupportforum.com/forums/f15/…
Deen
@ Hennes - maaf, saya tidak mengerti. Anda mungkin telah melewatkan bahwa saya adalah pengguna biasa. tolong jelaskan apa yang kamu katakan.
Deen

Jawaban:

10

Jadi, hapus drive dengan DBAN dengan bodoh (PRNG, 8 pass). Belakangan diketahui bahwa DBAN tidak membunuh HPA (area yang dilindungi host) dan DCO (Overlay konfigurasi drive)

Jadi kami memiliki penerimaan dasar di sini drive dihapus jadi oleh karena itu tidak ada tabel partisi, sistem file atau data pada drive. Jadi, tidak ada korupsi data atau korupsi sistem file karena tidak ada, DBAN telah memastikan ini dan karenanya peringatan HDPARM berikut ini tidak berlaku.

hdparm memiliki kelemahan yang lebih serius: hdparm dapat crash komputer dan membuat data pada disk tidak dapat diakses jika parameter tertentu disalahgunakan. Dari sekitar enam puluh tujuh parameter, beberapa berbahaya dan dapat mengakibatkan "korupsi sistem file besar-besaran" ketika digunakan tanpa pandang bulu.

Jalankan disk boot Linux Anda dan jalankan hdparm


Untuk menggunakan HDPARM untuk menghapus HPA

Untuk x = perangkat yang Anda targetkan, gunakan perintah HDPARM berikut untuk menunjukkan apakah HPA Anda diaktifkan.

# hdparm -N /dev/sdx

Ini akan memuntahkan sesuatu seperti berikut jika Anda memiliki HPA yang ditentukan:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Untuk menghapus HPA dan memperluas area yang terlihat keluar ke ukuran penuh drive, gunakan penyebut dalam laporan di atas (area yang terlihat / sektor maks):

# hdparm -N p78165360 /dev/sdx

Ini akan memuntahkan laporan bahwa area yang terlihat sama dengan sektor maksimum dan bahwa HPA dinonaktifkan.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Untuk menggunakan HDPARM untuk memeriksa apakah DCO sudah ada dan mengaturnya kembali ke default pabrik

Karena DCO diatur oleh pabrikan, Anda harus menerima bahwa mengacaukannya mungkin akan merusak drive. Tapi itulah masalah Anda yang paling kecil jika Anda pikir Anda punya beberapa malware canggih yang benar-benar bisa mengacaukannya. Untuk melihat DCO, gunakan perintah HDPARM berikut.

# hdparm --dco-identify /dev/sdx

Dalam contoh Anda, itu memberi Anda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Jadi, pabrikan drive Anda menggunakan DCO untuk menentukan mode transfer data yang diijinkan (MDMA, UDMA), ukuran nyata drive (sektor maks), dan perintah ATA / SATA yang dapat dinonaktifkan.

Jika Anda ingin mencoba mengembalikan DCO kembali ke default pabrik, Anda dapat menggunakan perintah HDPARM yang diikuti:

# hdparm --dco-restore /dev/sdx

Ini akan meludahi Anda peringatan berikut bahwa mengubah DCO akan menyebabkan kehilangan data total. Anggap saja sebagai mengubah ukuran partisi atau menghapus tabel partisi dan mengembalikannya dengan parameter yang salah. Pada disk yang dihapus, Anda sudah kehilangan data, eh? Pada dasarnya sebuah Maaf Anda tidak mencadangkan data Anda sebelum melanjutkan, Anda SOL jika DCO tidak cocok setelah menjalankan perintah dan Anda berpikir ada sesuatu yang dapat dipulihkan dari drive karena ukuran ulang.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Sesuai instruksi, Anda menambahkan sakelar "Saya menerima konsekuensi" berikut:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Dan itu memberi tahu Anda:

/dev/sdx:
issuing DCO restore command
Laboratorium Fiasco
sumber
2
linux.die.net/man/8/hdparm - Halaman hdparmmanual adalah yang paling menakutkan yang pernah saya lihat.
LawrenceC
1
Yap, dan apa pun yang mengacaukan firmware yang tidak dipahami secara eksplisit dapat mengakibatkan dan dalam beberapa kasus akan menghasilkan batu bata aluminium dengan benda-benda mengkilap bulat diskoid dan magnet yang sangat kuat di dalamnya.
Fiasco Labs
Saya tidak ingin merusak drive saya jadi saya tidak menjalankan perintah mengembalikan DCO. Saya hanya akan melanjutkan dengan restorasi windows dan melihat apa yang terjadi. Jika saya mendapatkan malware, saya hanya akan membuang HDD saya dan mendapatkan yang baru. Semoga itu bekerja, kecuali seperti malware "Rakshasa" yang mengklaim dapat menginfeksi BIOS dan tetap lebih gigih :) google.com/...
Deen
info bagus tentang memulihkan HPA tanpa memulai ulang (juga mengatur ulang DCO): blog.asiantuntijakaveri.fi/2012/07/…
akostadinov
2

Saya memiliki masalah baru-baru ini dengan drive 1TB yang dilaporkan sebagai 1KB dan Disk Manager melaporkan tidak ada media. Saya menggunakan program gratis bernama DiskCheckup dari Passmark.com.

Setelah menjalankan program dan memilih disk yang terkena, saya mengklik tab 'tersembunyi' untuk menemukan 3 kotak input. 'Max User LBA' pertama hanya menunjukkan 1: yang kedua dan ketiga (Asli dan Disk) menunjukkan angka yang benar. Saya mencentang kotak centang untuk memungkinkan perubahan dan mengetikkan nomor yang benar ke kotak pertama sehingga ketiga menunjukkan jumlah LBA yang sama. Kemudian, klik tombol 'Terapkan': semua selesai.

Kembali ke Disk Manager, saya mengklik 'pindai ulang' di menu Tindakan dan informasi partisi lengkap saya kembali dengan akses penuh ke drive. Mungkin Anda harus mengganti MBR jika itu adalah drive yang dapat di-boot menggunakan sesuatu seperti EasyRE.

Maaf, sedang mencari jawaban sebelumnya dan tidak menyadari ini adalah situs Linux dan jawaban saya hanya berlaku untuk Windows.

Peter Brown
sumber