mar*_*ing 3 hard-drive malware rootkit data-integrity hdparm
我需要在使用一些用过的硬盘驱动器之前对其进行擦除,以防它们包含恶意软件。移除主机保护区是否安全?
HPA 是用来存储备用扇区的吗?它只有 1 MB,但可能包含恶意软件。HPA 可以擦除然后恢复吗?如果它消失了,会损害驱动器的运行吗?或者没有 HPA 更安全,因为恶意软件无法隐藏在那里?
不,我不相信 HPA 中存储有备用扇区。替换硬盘扇区从哪里来?它的参考坏扇区重新映射有一个“备用扇区池”,但这似乎完全取决于制造商的池所在位置。由于 HPA 和驱动器自己的 DCO 旨在存储数据,因此它们不能成为备用扇区池的一部分。
\n主机保护区 (HPA)、设备配置覆盖 (DCO) 和 HDD/SSD 服务区之间有什么区别?和维基百科看来,驱动器的受保护区域充其量很难阅读。
\nHPA 通常用于存储实用程序或操作系统备份,因此可能比 1M 大得多(也许您指的是分区周围未分配的空间?),并且只有“hpa 感知”工具可以读取它们或覆盖它们(请参阅以下)。覆盖 HPA 似乎不会损害驱动器的操作,您只需覆盖它具有的任何实用程序/备份即可。
\nDCO(驱动器配置覆盖)似乎是供驱动器本身使用的,覆盖它可能会很糟糕,可能会导致驱动器无法工作。
\nhdparm可以通过类似的工具(至少在 Linux 上)访问 HPA ,请参阅https://security.stackexchange.com/questions/196071/do-all-hard-drives-support-device-configuration-overlay-dco-和主机保护。hdparm\ 的手册页建议“非常危险,数据丢失极有可能”,但幸运的是擦除数据是您的目标。对于直接连接的驱动器(无 USB),步骤似乎是:
sudo hdparm -N /dev/sdX检查 HPA 是否启用或禁用。
\nsudo hdparm -g /dev/sdX检查扇区数。
\nsudo hdparm -Np<MAX SECTORS> /dev/sdX禁用 HPA。
\n sudo hdparm --yes-i-know-what-i-am-doing --dco-identify /dev/sdX
\nsudo hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdX
之后,您可以使用任何操作系统工具(例如)覆盖整个驱动器dd以及通常可访问的内容。
DCO 可以恢复为出厂默认设置,尽管这可能会给驱动器带来类似砖块般的后果,请参阅硬盘驱动器 - 在恶意软件感染后清除“隐藏区域”,如 HPA 和 DCO,hdparm以获取有关 \'s --dco-identify 的信息和 - -dco-恢复。
请注意,这些选项都信任驱动器自己的固件,实际上可以让您覆盖这些区域......
\n如果您担心驱动器自身固件中存在恶意软件,那就不同了……每个硬盘驱动器、SSD、甚至 USB 拇指驱动器和最小的 microSD 卡基本上都有运行软件的微型计算机/微控制器(“固件”)里面。摘自《美国国家安全局的固件黑客攻击如何运作以及为何如此令人不安》:
\n\n\n硬盘驱动器磁盘有一个控制器,本质上是一个微型计算机,其中包括存储芯片或闪存 ROM,其中驻留有用于操作硬盘驱动器的固件代码。
\n
\n\n如果受害者认为自己的计算机已被感染,则擦除计算机的操作系统并重新安装以消除任何恶意代码,恶意固件代码将保持不变。然后它可以联系命令服务器来恢复从系统中删除的所有其他恶意组件。
\n
\n\n即使固件本身使用新的供应商版本进行了更新,恶意固件代码也可能仍然存在,因为某些固件更新仅替换了部分固件,这意味着恶意部分可能不会被更新覆盖。对于受害者来说,唯一的解决方案是扔掉他们的硬盘并重新开始。
\n
关于驱动器本身的服务区域:
\n\n\n以色列公司 Recover 的数据恢复专家 Ariel Berkman 于 2013 年 2 月发表了一篇有趣的论文(.pdf),指出“这些区域不仅无法(通过标准工具)\xe2\x80\x99 进行清理,而且无法通过防病毒软件[或]计算机取证工具访问。”
\n
(我不完全确定受损的硬盘驱动器如何单独“到达命令服务器”,也许它看到一个可执行文件被读取并注入它自己的代码,但这是另一个问题...... )
\n| 归档时间: |
|
| 查看次数: |
235 次 |
| 最近记录: |