हार्डड्राइव - मैलवेयर संक्रमण के बाद एचपीए और डीसीओ जैसे "छिपे हुए क्षेत्रों" को मिटा दें

पृष्ठभूमि:

मुझे विंडोज में कुछ मैलवेयर मिले, संभवतः एक रूटकिट या बूटकिट। मैं कोई मौका नहीं लेना चाहता था, इसलिए मूर्खतापूर्वक मेरे ड्राइव को DBAN (PRNG, 8 पास) के साथ मिटा दिया। बाद में पता चला कि DBAN HPA (होस्ट प्रोटेक्टेड एरिया) ओरैंड डीसीओ (ड्राइव कॉन्फ़िगरेशन ओवरले) को नहीं मारता है जो कुछ हार्ड ड्राइव द्वारा उपयोग किए जाने वाले "छिपे हुए क्षेत्र" हैं।

मैंने देखा कि CMRR द्वारा बनाया गया HDDErase यदि मौजूद है तो HPA और DCO को हटा सकता है, लेकिन परियोजना को 2005 या 2007 में रोक दिया गया था। इसलिए, मैं hdparmइस उम्मीद में लिनक्स पर आया कि यह मेरे HDD को 100% साफ कर देगा, ताकि मैं Windows स्थापित कर सकूं फिर से एक 100% साफ हार्ड ड्राइव पर। एक तरफ के रूप में, मैंने "बीसी वाइप टोटल वाइपआउट" को भी देखा, जो एचपीए और डीसीओ को हटाता है, लेकिन इसकी लागत $ 50 है।

मैं थोड़ा बैश कौशल वाला एक औसत कंप्यूटर उपयोगकर्ता हूं। मुझे वास्तव में नहीं पता कि मैं क्या कर रहा हूं।

प्रशन:

मेरा ड्राइव 320GB 7200RPM सीगेट ड्राइव है।

के उत्पादन sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

1. इस आउटपुट का क्या मतलब है? मैं यह कैसे सुनिश्चित कर सकता हूं कि HPA DCO पर मालवेयर की कोई संभावना नहीं है?

2. क्या सेक्टरों के बजाय जीबी के संदर्भ में आकार का पता लगाने का कोई तरीका है?

3. क्या hdparmHPA और DCO में रहने वाले सभी मालवेयर का पूरा सफाया हो जाएगा ?

मैंने इसे विकी पेज पर भी देखा और थोड़ा चिंतित था:

hdparm में एक अधिक गंभीर खामी है: यह कंप्यूटर को क्रैश कर सकता है और इसके डिस्क पर डेटा को दुर्गम बना सकता है अगर कुछ मापदंडों का दुरुपयोग किया जाता है। लगभग साठ-सत्तर मापदंडों में से, कई खतरनाक हैं और अंधाधुंध इस्तेमाल किए जाने पर "बड़े पैमाने पर फाइलसिस्टम भ्रष्टाचार" हो सकता है।

तो, DBAN मूर्खता के साथ ड्राइव मिटा दिया (PRNG, 8 पास)। बाद में पता चला कि DBAN HPA (मेजबान संरक्षित क्षेत्र) और DCO (ड्राइव कॉन्फ़िगरेशन ओवरले) को नहीं मारता है

इसलिए हमारे पास एक बुनियादी प्रवेश है यहां ड्राइव को मिटा दिया गया था इसलिए ड्राइव पर कोई विभाजन तालिका, फ़ाइल सिस्टम या डेटा नहीं है। इसलिए, न तो कोई डेटा भ्रष्टाचार या फ़ाइल सिस्टम भ्रष्टाचार हो सकता है, न ही मौजूद है, DBAN ने इसे सुनिश्चित किया है और इसलिए निम्न HDPARM चेतावनी लागू नहीं है।

hdparm में एक अधिक गंभीर खामी है: यह कंप्यूटर को क्रैश कर सकता है और इसके डिस्क पर डेटा को दुर्गम बना सकता है अगर कुछ मापदंडों का दुरुपयोग किया जाता है। लगभग साठ-सत्तर मापदंडों में से, कई खतरनाक हैं और अंधाधुंध इस्तेमाल किए जाने पर "बड़े पैमाने पर फाइलसिस्टम भ्रष्टाचार" हो सकता है।

अपने लिनक्स बूट डिस्क को फायर करें और चलाएं hdparm

HPA को खाली करने के लिए HDPARM का उपयोग करना

यदि आप लक्षित कर रहे हैं, तो x = डिवाइस के लिए, यदि आप HPA सक्षम हैं, तो दिखाने के लिए निम्न HDPARM कमांड का उपयोग करें।

# hdparm -N /dev/sdx

यदि आपके पास एचपीए परिभाषित है तो यह निम्नलिखित की तरह कुछ थूक देगा:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

HPA को हटाने और ड्राइव के पूर्ण आकार के लिए दृश्यमान क्षेत्र का विस्तार करने के लिए उपरोक्त रिपोर्ट (दृश्य क्षेत्र / अधिकतम क्षेत्रों) में भाजक का उपयोग करें:

# hdparm -N p78165360 /dev/sdx

यह एक रिपोर्ट वापस लाएगा कि दृश्य क्षेत्र अधिकतम क्षेत्रों के बराबर है और यह कि HPA अक्षम है।

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

यह देखने के लिए HDPARM का उपयोग करने के लिए कि क्या DCO की जगह है और फ़ैक्टरी चूक के लिए इसे सेट करें

चूंकि DCO निर्माता द्वारा स्थापित किया गया है, इसलिए आपको यह स्वीकार करना होगा कि इसके साथ खिलवाड़ करना संभवतः ड्राइव को ईंट कर देगा। लेकिन तब आपकी समस्याएं कम से कम होती हैं यदि आपको लगता है कि आपको कुछ परिष्कृत मैलवेयर मिले हैं जो वास्तव में इसके साथ गड़बड़ कर सकते हैं। DCO को देखने के लिए, निम्न HDPARM कमांड का उपयोग करें।

# hdparm --dco-identify /dev/sdx

आपके उदाहरण में, इसने आपको दिया:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

तो, आपका ड्राइव निर्माता स्वीकार्य डेटा ट्रांसफर मोड (एमडीएमए, यूडीएमए), ड्राइव के वास्तविक आकार (अधिकतम सेक्टर), और एटीए / एसएटीए कमांड को अक्षम करने के लिए डीसीओ का उपयोग करता है।

यदि आप DCO को फैक्ट्री डिफॉल्ट्स में वापस लाने का प्रयास करना चाहते हैं, तो आप followning HDPARM कमांड का उपयोग कर सकते हैं:

# hdparm --dco-restore /dev/sdx

यह आपको निम्नलिखित चेतावनी पर थूक देगा कि DCO को बदलने से कुल डेटा हानि होगी। इसे विभाजन के आकार को बदलने या विभाजन तालिका को मिटा देने और इसे गलत मापदंडों के साथ पुनर्स्थापित करने के रूप में सोचें। एक मिटाए गए डिस्क पर, आप पहले से ही डेटा खो चुके हैं, एह? मूल रूप से खेद है कि आपने आगे बढ़ने से पहले अपना डेटा वापस नहीं लिया, आप SOL हैं यदि DCO कमांड के रन होने के बाद मेल नहीं खाता है और आपको लगता है कि साइज़ रिअसाइनमेंट के कारण ड्राइव से कुछ भी रिकवर हो जाएगा।

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

निर्देशों के अनुसार, आप निम्नलिखित जोड़ते हैं "मैं परिणामों को स्वीकार करता हूं" स्विच:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

और यह आपको बताता है:

/dev/sdx:
issuing DCO restore command

मुझे हाल ही में एक समस्या के साथ 1TB ड्राइव की सूचना मिली है क्योंकि 1KB और डिस्क मैनेजर ने कोई मीडिया रिपोर्ट नहीं की है। मैंने Passmark.com से DiskCheckup नामक एक मुफ्त कार्यक्रम का उपयोग किया।

प्रोग्राम को चलाने और प्रभावित डिस्क का चयन करने के बाद मैंने 3 इनपुट बॉक्स खोजने के लिए 'हिडन' टैब पर क्लिक किया। पहले 'मैक्स उपयोगकर्ता एलबीए' ने केवल 1 दिखाया: दूसरे और तीसरे (मूल और डिस्क) ने सही संख्या दिखाई। मैंने परिवर्तन करने की अनुमति देने के लिए चेकबॉक्स पर टिक किया और पहले बॉक्स में सही संख्या में टाइप किया ताकि सभी 3 में LBA की समान संख्या दिखाई दे। फिर, 'लागू करें' बटन पर क्लिक करें: सब हो गया।

डिस्क मैनेजर में वापस, मैंने क्रिया मेनू में 'rescan' पर क्लिक किया और मेरी पूरी विभाजन जानकारी ड्राइव पर पूरी पहुँच के साथ वापस आ गई। ऐसा हो सकता है कि आपको एमबीआर को बदलना होगा यदि यह ईज़ीआरई जैसी कुछ का उपयोग करके बूट करने योग्य ड्राइव है।

क्षमा करें, पहले एक उत्तर के लिए ब्राउज़ कर रहा था और महसूस नहीं किया था कि यह एक लिनक्स साइट थी और मेरा उत्तर केवल विंडोज पर लागू होता है।

मेरे पास आपके एचडीडी को साफ करने के तरीके के बारे में कुछ सुझाव हैं। आप मेरा जवाब यहाँ देख सकते हैं -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

लगता है कि ओपन सोर्स उतनी आकर्षक नहीं है जितनी दिखती है। एक $ 50 बंद स्रोत उपकरण मेरे लिए काम कर सकता है, लेकिन मैंने इसे नहीं खरीदा क्योंकि यह बहुत महंगा है।