ハードドライブ-マルウェア感染後、HPAやDCOなどの「隠れた領域」を一掃

9

バックグラウンド:

Windowsにいくつかのマルウェア、ルートキットまたはブートキットが含まれている可能性があります。チャンスを逃したくなかったので、馬鹿にDBAN(PRNG、8パス)でドライブを拭きました。後で、DBANはHPA(ホスト保護領域)または一部のハードドライブで使用される「隠し領域」であるDCO(ドライブ構成オーバーレイ)を殺さないことを知りました。

私はHDDEraseはCMRRによってなさが存在する場合HPAとDCOを削除することができますが、プロジェクトは2005年または2007年そこらで停止したことを見て、私は、Linuxのに来たhdparm、それは私がWindowsをインストールできるというのが私のHDDを100%クリーンなので拭きますことを期待して再び100%クリーンなハードドライブで。余談ですが、HPAとDCOの削除を行うが50ドルかかる「BC Wipe Total Wipeout」も検討しました。

私はBashスキルがほとんどない平均的なコンピューターユーザーです。つまり、自分が何をしているのか本当にわかりません。

質問:

私のドライブは320GB 7200RPM Seagateドライブです。

の出力sudo hdparm --dco-identify /dev/sda

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

  1. この出力はどういう意味ですか?HPA DCOにマルウェアが残っていないことを確認するにはどうすればよいですか?

  2. セクターではなくGBでサイズを確認する方法はありますか?

  3. ウィルhdparm完全にはHPAとDCOに存在することを、すべてのマルウェアのワイプのですか?

私もWikiページでこれを見て、少し心配でした:

hdparmには、より深刻な欠点があります。コンピューターをクラッシュさせ、特定のパラメーターを誤用すると、ディスク上のデータにアクセスできなくなる可能性があります。約67個のパラメーターのうち、いくつかは危険であり、無差別に使用すると「大規模なファイルシステムの破損」を引き起こす可能性があります。

linux  windows  hard-drive  malware  secure-erase 
ディーン
ソース
hy hddは、強化されたセキュリティ消去ユニットを備えています。HPAとDCOを一掃するのに役立ちますか?
Deen
3
ディスク上のすべてのファイルシステムを含むディスク全体をワイプしましたが、ファイルシステムの破損が心配ですか?
ヘネス2013
-どうやらHDDはあたりとしてハードディスクを消去からマルウェアを防ぐために「凍結」されforums.seagate.com/t5/Desktop-HDD-Desktop-SSHD/...
ディーン
このように解凍しますか?- techsupportforum.com/forums/f15/...
ディーン
@ヘネス-すみません、わかりません。あなたは私が平均的なユーザーであることを逃したかもしれません。あなたが言ったことを説明してください。
Deen

回答:

10

したがって、DBANを使用してドライブを愚かにワイプしました(PRNG、8パス)。後でDBANがHPA(ホスト保護領域)とDCO(ドライブ構成オーバーレイ)を強制終了しないことを知った

したがって、ここではドライブがワイプされたため、ドライブにパーティションテーブル、ファイルシステム、またはデータはありません。したがって、どちらも存在しないため、データの破損やファイルシステムの破損はありません。DBANはこれを確認しているため、次のHDPARM警告は適用されません。

hdparmには、より深刻な欠点があります。コンピューターをクラッシュさせ、特定のパラメーターを誤用すると、ディスク上のデータにアクセスできなくなる可能性があります。約67個のパラメーターのうち、いくつかは危険であり、無差別に使用すると「大規模なファイルシステムの破損」を引き起こす可能性があります。

Linuxブートディスクを起動して実行します hdparm

HDPARMを使用してHPAをクリアするには

x =対象のデバイスの場合、次のHDPARMコマンドを使用して、HPAが有効になっているかどうかを確認します。

# hdparm -N /dev/sdx

HPAが定義されている場合は、次のような情報が返されます。

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

HPAを削除し、表示領域をドライブのフルサイズまで拡張するには、上記のレポートの分母を使用します(表示領域/最大セクター)。

# hdparm -N p78165360 /dev/sdx

可視領域が最大セクターに等しく、HPAが無効になっているというレポートが返されます。

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

HDPARMを使用してDCOが配置されているかどうかを確認し、工場出荷時のデフォルトに戻すには

DCOはメーカーによって設定されているため、DCOをいじるとドライブがブリックする可能性があることを受け入れる必要があります。しかし、実際にそれを台無しにする可能性があるいくつかの高度なマルウェアを入手したと考えれば、それはあなたの問題の最小のものです。DCOを表示するには、次のHDPARMコマンドを使用します。

# hdparm --dco-identify /dev/sdx

あなたの例では、それはあなたに与えました:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

したがって、ドライブの製造元は、DCOを使用して、許可されるデータ転送モード(MDMA、UDMA)、ドライブの実際のサイズ(最大セクター)、および無効にできるATA / SATAコマンドを定義します。

DCOを工場出荷時のデフォルトに戻したい場合は、次のHDPARMコマンドを使用できます。

# hdparm --dco-restore /dev/sdx

DCOを変更するとデータが完全に失われるという次の警告が表示されます。パーティションサイズを変更するか、パーティションテーブルを消去して、不正なパラメーターで復元することと考えてください。ワイプされたディスクでは、すでにデータを失っていますね。基本的に、続行する前にデータをバックアップしなかったのは申し訳ありません。コマンドの実行後にDCOが一致せず、サイズの再割り当てのためにドライブから何かを回復できると考える場合は、SOLです。

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

指示に従って、次の「結果を受け入れます」スイッチを追加します。

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

そしてそれはあなたに伝えます:

/dev/sdx:
issuing DCO restore command
Fiasco Labs
ソース
2
linux.die.net/man/8/hdparm-のmanページhdparmは、私が今まで見た中で最も恐ろしいものです。
LawrenceC
1
はい、明示的に理解されていないファームウェアをいじると、結果として円形の円盤状の光沢のあるものと非常に強力な磁石が内部にあるアルミニウムレンガ生じる場合あります。
Fiasco Labs
ドライブをブリックしたくないので、DCO復元コマンドを実行しませんでした。私は窓の修復に進み、何が起こるか見てみましょう。マルウェアが発生した場合は、HDDを捨てて新しいHDDを取得します。うまくいけば、そのそれはBIOSに感染し、はるかに永続的な維持することができると主張し、「羅刹天」マルウェア:)のような場合を除き、動作するはずその google.com/...
ディーン
再起動せずにHPAを回復する(DCOをリセットする)に関する良い情報:blog.asiantuntijakaveri.fi/2012/07/…– akostadinov 18
1
2

1TBドライブが1KBと報告され、ディスクマネージャーがメディアを報告しないという問題が最近発生しました。Passmark.comのDiskCheckupという無料のプログラムを使用しました。

プログラムを実行して影響を受けるディスクを選択した後、「非表示」タブをクリックして3つの入力ボックスを見つけました。最初の「最大ユーザーLBA」は1のみを示しました。2番目と3番目(ネイティブおよびディスク)は正しい数を示しました。チェックボックスをオンにして変更を許可し、最初のボックスに正しい番号を入力して、3つすべてに同じ数のLBAが表示されるようにしました。次に、[適用]ボタンをクリックします。すべて完了しました。

ディスクマネージャーに戻り、[操作]メニューの[再スキャン]をクリックすると、ドライブへのフルアクセスで、完全なパーティション情報が返されました。EasyREなどを使用した起動可能なドライブの場合、MBRを交換する必要がある場合があります。

申し訳ありませんが、以前に回答を探していましたが、これがLinuxサイトであることに気づかなかったため、私の回答はWindowsにのみ適用されます。

ピーター・ブラウン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.