Disque dur - effacez les «zones cachées» comme HPA et DCO après une infection par un logiciel malveillant

Contexte:

J'ai des logiciels malveillants dans Windows, peut-être un rootkit ou un bootkit. Je ne voulais prendre aucun risque, alors j'ai sottement essuyé mon disque avec DBAN (PRNG, 8 passes). Plus tard, j'ai appris que DBAN ne tue pas HPA (Host Protected Area) ou DCO (Drive Configuration Overlay) qui sont des "zones cachées" utilisées par certains disques durs.

J'ai vu que HDDErase fait par CMRR peut supprimer le HPA et le DCO s'ils sont présents, mais le projet a été arrêté en 2005 ou 2007. Donc, je suis venu chez Linux hdparmdans l'espoir qu'il nettoiera mon disque dur à 100% pour que je puisse installer Windows à nouveau sur un disque dur 100% propre. En passant, j'ai également regardé "BC Wipe Total Wipeout" qui supprime HPA et DCO mais coûte 50 $.

Je suis un utilisateur d'ordinateur moyen avec peu de compétences Bash, c'est-à-dire que je ne sais pas vraiment ce que je fais.

Des questions:

Mon disque est un disque Seagate de 320 Go à 7200 tr / min.

La sortie de sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

1. Que signifie cette sortie? Comment puis-je m'assurer qu'il n'y a aucune possibilité que des logiciels malveillants restent sur le HPA DCO?

2. Existe-t-il un moyen de connaître la taille en termes de Go au lieu de secteurs?

3. Effacera hdparm- t -il complètement tous les logiciels malveillants résidant dans HPA et DCO?

J'ai également vu cela sur la page Wiki et j'étais un peu inquiet:

hdparm a un inconvénient plus sérieux: il peut planter un ordinateur et rendre les données de son disque inaccessibles si certains paramètres sont mal utilisés. Sur environ soixante-sept paramètres, plusieurs sont dangereux et pourraient entraîner une «corruption massive du système de fichiers» lorsqu'ils sont utilisés sans discrimination.

Donc, essuyé le lecteur avec DBAN bêtement (PRNG, 8 passes). Plus tard, j'ai appris que DBAN ne tue pas HPA (zone protégée par l'hôte) et DCO (superposition de configuration du lecteur)

Nous avons donc une admission de base ici, le lecteur a été effacé, il n'y a donc pas de table de partition, de système de fichiers ou de données sur le lecteur. Ainsi, il ne peut y avoir de corruption de données ou de système de fichiers car aucun n'existe, DBAN s'en est assuré et l'avertissement HDPARM suivant n'est donc pas applicable.

hdparm a un inconvénient plus sérieux: il peut planter un ordinateur et rendre les données de son disque inaccessibles si certains paramètres sont mal utilisés. Sur environ soixante-sept paramètres, plusieurs sont dangereux et pourraient entraîner une «corruption massive du système de fichiers» lorsqu'ils sont utilisés sans discrimination.

Lancez votre disque de démarrage Linux et exécutez hdparm

Pour utiliser HDPARM pour effacer le HPA

Pour l'appareil x = que vous ciblez, utilisez la commande HDPARM suivante pour indiquer si un HPA est activé.

# hdparm -N /dev/sdx

Il crachera quelque chose comme ceci si vous avez un HPA défini:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Pour supprimer le HPA et étendre la zone visible à la taille complète du lecteur, utilisez le dénominateur dans le rapport ci-dessus (zone visible / secteurs max):

# hdparm -N p78165360 /dev/sdx

Il crachera un rapport indiquant que la zone visible est égale au nombre maximum de secteurs et que le HPA est désactivé.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Pour utiliser HDPARM pour vérifier si un DCO est en place et le rétablir aux paramètres d'usine par défaut

Étant donné que le DCO est configuré par le fabricant, vous devez accepter que le fait de le manipuler endommagera éventuellement le lecteur. Mais c'est le moindre de vos problèmes si vous pensez que vous avez obtenu des logiciels malveillants sophistiqués qui pourraient réellement jouer avec. Pour voir le DCO, utilisez la commande HDPARM suivante.

# hdparm --dco-identify /dev/sdx

Dans votre exemple, cela vous a donné:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Ainsi, le fabricant de votre lecteur utilise DCO pour définir les modes de transfert de données autorisés (MDMA, UDMA), la taille réelle du lecteur (secteurs max) et les commandes ATA / SATA qui peuvent être désactivées.

Si vous souhaitez tenter de rétablir le DCO aux valeurs par défaut, vous pouvez utiliser la commande HDPARM suivante:

# hdparm --dco-restore /dev/sdx

Il vous enverra l'avertissement suivant que le changement du DCO entraînera une perte totale de données. Considérez-le comme une modification de la taille de la partition ou un effacement de la table de partition et sa restauration avec des paramètres incorrects. Sur un disque effacé, vous avez déjà perdu les données, hein? Fondamentalement, un Désolé que vous n'avez pas sauvegardé vos données avant de continuer, vous êtes SOL si le DCO ne correspond pas après l'exécution de la commande et vous pensez que tout sera récupérable à partir du lecteur en raison de la réaffectation de la taille.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Selon les instructions, vous ajoutez le commutateur "J'accepte les conséquences" suivant:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Et ça vous dit:

/dev/sdx:
issuing DCO restore command

J'ai eu un problème récent avec un lecteur de 1 To signalé comme 1 Ko et Disk Manager n'a signalé aucun média. J'ai utilisé un programme gratuit appelé DiskCheckup de Passmark.com.

Après avoir exécuté le programme et sélectionné le disque affecté, j'ai cliqué sur l'onglet «caché» pour trouver 3 zones de saisie. Le premier «Max User LBA» n'a montré que 1: le deuxième et le troisième (natif et disque) ont montré le nombre correct. J'ai coché la case pour autoriser la modification et j'ai tapé le bon numéro dans la première case pour que les 3 affichent le même nombre de LBA. Cliquez ensuite sur le bouton «Appliquer»: tout est terminé.

De retour dans Disk Manager, j'ai cliqué sur «rescan» dans le menu Actions et mes informations de partition complètes étaient de retour avec un accès complet au lecteur. Il se peut que vous deviez remplacer le MBR s'il s'agit d'un lecteur amorçable utilisant quelque chose comme EasyRE.

Désolé, je cherchais une réponse plus tôt et je n'avais pas réalisé qu'il s'agissait d'un site Linux et ma réponse ne s'applique qu'à Windows.

J'ai quelques suggestions sur la façon de nettoyer votre disque dur. Vous pouvez voir ma réponse ici -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

On dirait que l'open source n'est pas aussi rose qu'il y paraît. Un outil de source fermée à 50 $ peut faire le travail pour moi, mais je ne l'ai pas acheté parce que c'est trop cher.