Harddrive - cancella "aree nascoste" come HPA e DCO dopo l'infezione da malware

Sfondo:

Ho del malware in Windows, forse un rootkit o un bootkit. Non volevo correre rischi, quindi ho cancellato scioccamente il mio disco con DBAN (PRNG, 8 passaggi). In seguito venne a sapere che DBAN non uccide HPA (Host Protected Area) o DCO (Drive Configuration Overlay) che sono "aree nascoste" utilizzate da alcuni dischi rigidi.

Ho visto che HDDErase realizzato da CMRR può rimuovere HPA e DCO se presenti, ma il progetto è stato interrotto nel 2005 o 2007. Quindi, sono venuto da Linux hdparmnella speranza che pulisca il mio HDD al 100% in modo da poter installare Windows di nuovo su un disco rigido pulito al 100%. A parte questo, ho anche guardato a "BC Wipe Total Wipeout" che fa la rimozione di HPA e DCO ma costa $ 50.

Sono un utente medio di computer con poca abilità di Bash, cioè non so davvero cosa sto facendo.

Domande:

La mia unità è un'unità Seagate da 72 GB a 7200 giri / min.

L'output di sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

1. Cosa significa questo output? Come posso garantire che non vi sia alcuna possibilità che malware rimanga sul DCO HPA?

2. C'è un modo per scoprire le dimensioni in termini di GB anziché di settori?

3. Eliminerà hdparmcompletamente tutto il malware che risiede nell'HPA e nel DCO?

Ho anche visto questo sulla pagina Wiki ed ero un po 'preoccupato:

hdparm ha un inconveniente più grave: può causare l'arresto anomalo di un computer e rendere inaccessibili i dati sul suo disco se alcuni parametri vengono utilizzati in modo improprio. Di circa sessantasette parametri, molti sono pericolosi e potrebbero causare "una corruzione massiccia del filesystem" se usati indiscriminatamente.

Quindi, cancellato unità con DBAN stupidamente (PRNG, 8 passaggi). In seguito venne a sapere che DBAN non uccide HPA (area protetta dall'host) e DCO (overlay di configurazione dell'unità)

Quindi abbiamo un'ammissione di base qui l'unità è stata cancellata, quindi non ci sono tabelle di partizioni, file system o dati sull'unità. Quindi, non può esserci corruzione dei dati o corruzione del file system in quanto non esistono, poiché DBAN lo ha garantito e quindi il seguente avviso HDPARM non è applicabile.

hdparm ha un inconveniente più grave: può causare l'arresto anomalo di un computer e rendere inaccessibili i dati sul suo disco se alcuni parametri vengono utilizzati in modo improprio. Di circa sessantasette parametri, molti sono pericolosi e potrebbero causare "una corruzione massiccia del filesystem" se usati indiscriminatamente.

Avvia il tuo disco di avvio di Linux ed eseguilo hdparm

Per utilizzare HDPARM per cancellare l'HPA

Per x = dispositivo targetizzato, utilizzare il seguente comando HDPARM per mostrare se è abilitato un HPA.

# hdparm -N /dev/sdx

Restituirà qualcosa di simile al seguente se hai definito un HPA:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Per rimuovere l'HPA ed espandere l'area visibile fino alla dimensione completa dell'unità, utilizzare il denominatore nel rapporto sopra (area visibile / settori massimi):

# hdparm -N p78165360 /dev/sdx

Restituirà un report che l'area visibile è uguale ai settori massimi e che l'HPA è disabilitato.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Per utilizzare HDPARM per verificare se è presente un DCO e ripristinarlo alle impostazioni di fabbrica

Dal momento che il DCO è stato impostato dal produttore, è necessario accettare che il pasticcio con esso possa danneggiare l'unità. Ma questo è l'ultimo dei tuoi problemi se pensi di avere un malware sofisticato che potrebbe davvero rovinarlo. Per visualizzare il DCO, utilizzare il seguente comando HDPARM.

# hdparm --dco-identify /dev/sdx

Nel tuo esempio, ti ha dato:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Pertanto, il produttore dell'unità utilizza DCO per definire le modalità di trasferimento dati consentite (MDMA, UDMA), la dimensione reale dell'unità (settori massimi) e i comandi ATA / SATA che possono essere disabilitati.

Se si desidera tentare di ripristinare il DCO ai valori predefiniti di fabbrica, è possibile utilizzare il seguente comando HDPARM:

# hdparm --dco-restore /dev/sdx

Ti verrà restituito il seguente avviso che la modifica del DCO causerà la perdita totale dei dati. Consideralo come modificare la dimensione della partizione o cancellare la tabella delle partizioni e ripristinarla con parametri errati. Su un disco cancellato, hai già perso i dati, eh? Fondamentalmente a Mi dispiace non aver eseguito il backup dei dati prima di procedere, sei SOL se il DCO non corrisponde dopo l'esecuzione del comando e pensi che qualsiasi cosa sarà recuperabile dall'unità a causa della riassegnazione delle dimensioni.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Come da istruzioni, aggiungi il seguente parametro "Accetto le conseguenze":

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

E ti dice:

/dev/sdx:
issuing DCO restore command

Ho avuto un recente problema con un'unità da 1 TB segnalata come 1 KB e Disk Manager non ha segnalato alcun supporto. Ho usato un programma gratuito chiamato DiskCheckup da Passmark.com.

Dopo aver eseguito il programma e selezionato il disco interessato, ho fatto clic sulla scheda "nascosta" per trovare 3 caselle di input. Il primo "Max User LBA" mostrava solo 1: il secondo e il terzo (Native e Disk) mostravano il numero corretto. Ho spuntato la casella per consentire l'alterazione e ho digitato il numero corretto nella prima casella in modo che tutti e 3 mostrassero lo stesso numero di LBA. Quindi, fai clic sul pulsante "Applica": tutto fatto.

Di nuovo in Disk Manager, ho fatto clic su 'rescan' nel menu Actions e le mie informazioni complete sulla partizione erano tornate con pieno accesso all'unità. Potrebbe essere necessario sostituire l'MBR se si tratta di un'unità di avvio che utilizza qualcosa come EasyRE.

Siamo spiacenti, cercavo una risposta prima e non avevo capito che si trattava di un sito Linux e la mia risposta si applica solo a Windows.

Ho alcuni suggerimenti su come pulire il tuo HDD. Puoi vedere la mia risposta qui -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

Sembra che l'open source non sia così roseo come sembra. Uno strumento di $ 50 a codice chiuso può fare il lavoro per me, ma non l'ho comprato perché è troppo costoso.