GNU/Linux >> Tutoriales Linux >  >> Linux

Disco duro:elimine áreas ocultas como HPA y DCO después de una infección de malware

Entonces, borró la unidad con DBAN tontamente (PRNG, 8 pases). Más tarde me enteré de que DBAN no elimina HPA (área protegida del host) ni DCO (superposición de configuración de la unidad)

Entonces, tenemos una admisión básica aquí, la unidad se borró, por lo tanto, no hay tabla de particiones, sistema de archivos o datos en la unidad. Por lo tanto, no puede haber corrupción de datos o corrupción del sistema de archivos, ya que ninguno de los dos existe, ya que DBAN se aseguró de esto y, por lo tanto, la siguiente advertencia de HDPARM no es aplicable.

hdparm tiene un inconveniente más serio:puede bloquear una computadora y hacer que los datos en su disco sean inaccesibles si se usan mal ciertos parámetros. De aproximadamente sesenta y siete parámetros, varios son peligrosos y podrían resultar en una "corrupción masiva del sistema de archivos" cuando se usan indiscriminadamente.

Inicie su disco de arranque de Linux y ejecute hdparm

Para usar HDPARM para borrar el HPA

Para x =dispositivo al que se dirige, use el siguiente comando HDPARM para mostrar si tiene un HPA habilitado.

# hdparm -N /dev/sdx

Escupirá algo como lo siguiente si tiene un HPA definido:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Para eliminar el HPA y expandir el área visible al tamaño completo de la unidad, use el denominador en el informe anterior (área visible/sectores máximos):

# hdparm -N p78165360 /dev/sdx

Escupirá un informe de que el área visible es igual a los sectores máximos y que el HPA está deshabilitado.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Para usar HDPARM para verificar si un DCO está en su lugar y restablecerlo a los valores predeterminados de fábrica

Dado que el DCO está configurado por el fabricante, debe aceptar que jugar con él posiblemente bloqueará la unidad. Pero ese es el menor de sus problemas si cree que tiene un malware sofisticado que realmente podría alterarlo. Para ver el DCO, use el siguiente comando HDPARM.

# hdparm --dco-identify /dev/sdx

En tu ejemplo, te dio:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Por lo tanto, el fabricante de su unidad utiliza DCO para definir los modos de transferencia de datos permitidos (MDMA, UDMA), el tamaño real de la unidad (sectores máximos) y los comandos ATA/SATA que se pueden desactivar.

Si desea intentar revertir el DCO a los valores predeterminados de fábrica, puede usar el siguiente comando HDPARM:

# hdparm --dco-restore /dev/sdx

Le escupirá la siguiente advertencia de que cambiar el DCO causará la pérdida total de datos. Piense en ello como cambiar el tamaño de la partición o borrar la tabla de particiones y restaurarla con parámetros incorrectos. En un disco borrado, ya has perdido los datos, ¿eh? Básicamente, Lo siento, no hizo una copia de seguridad de sus datos antes de continuar, está SOL si el DCO no coincide después de ejecutar el comando y cree que se podrá recuperar algo de la unidad debido a la reasignación de tamaño. 

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Según las instrucciones, agregue el siguiente interruptor "Acepto las consecuencias":

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Y te dice:

/dev/sdx:
issuing DCO restore command

Tuve un problema reciente con una unidad de 1 TB informada como 1 KB y el Administrador de discos no informó medios. Usé un programa gratuito llamado DiskCheckup de Passmark.com.

Después de ejecutar el programa y seleccionar el disco afectado, hice clic en la pestaña "oculto" para encontrar 3 cuadros de entrada. El primer 'Max User LBA' mostró solo 1:el segundo y el tercero (Nativo y Disco) mostraron el número correcto. Marqué la casilla de verificación para permitir la modificación y escribí el número correcto en la primera casilla para que los 3 mostraran el mismo número de LBA. Luego, haga clic en el botón 'Aplicar':todo listo.

De vuelta en el Administrador de discos, hice clic en 'volver a escanear' en el menú Acciones y mi información de partición completa volvió con acceso completo a la unidad. Es posible que deba reemplazar el MBR si es una unidad de arranque que usa algo como EasyRE.

Lo siento, estaba buscando una respuesta antes y no me había dado cuenta de que este era un sitio de Linux y mi respuesta solo se aplica a Windows.


Linux

  1. Instale y use el comando Wget como un profesional (13 consejos)

  2. ¿Cómo diagnosticar y reparar la falta de espacio en el disco?

  3. ¿Cómo imprimir las líneas número 15 y 25 de cada 50 líneas?

  4. ¿Diferencias entre volumen, partición y disco?

  5. ¿Cómo detectar y descubrir que un programa está en interbloqueo?

Cómo particionar y formatear una unidad en Linux

Cómo encontrar detalles de la unidad de disco duro en Linux

Cómo acercar y alejar videos usando FFmpeg

Monitoreo y prueba de la salud de SSD en Linux

Cómo Limpiar un Disco Duro de forma segura - Paso a Paso

Cómo instalar y configurar Linux Malware Detect (LMD) en Linux