Harddrive - видаліть «приховані ділянки», такі як HPA та DCO після зараження зловмисними програмами

Фон:

У мене з’явилося деяке зловмисне програмне забезпечення в Windows, можливо, руткіт або завантажувальний комп'ютер. Я не хотів ризикувати, тому нерозумно витер свій диск з DBAN (PRNG, 8 пропуск). Пізніше стало відомо, що DBAN не вбиває HPA (Host Protected Area) або DCO (накладення конфігурації накопичувача), які є "прихованими зонами", якими користуються деякі жорсткі диски.

Я побачив, що HDDErase, створена CMRR, може видалити HPA та DCO, якщо вони є, але проект був зупинений у 2005 або 2007 роках. Отже, я прийшов до Linux, hdparmсподіваючись, що він видалить мій жорсткий диск на 100%, щоб я міг встановити Windows знову на 100% чистому жорсткому диску. Убік я також розглядав "BC Wipe Total Wipeout", який робить видалення HPA та DCO, але коштує 50 доларів.

Я пересічний користувач комп’ютера, що володіє маленьким вмінням Баша, тобто я не знаю, що я роблю.

Запитання:

Мій диск - накопичувач Seagate 7200 об / хв 320 Гб.

Вихід sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

1. Що означає цей вихід? Як я можу переконатися, що в DA HPA не залишається можливості зловмисного програмного забезпечення?

2. Чи є спосіб дізнатися розмір у перерахунку на ГБ замість секторів?

3. Чи hdparmвдасться повністю очистити всю шкідливу програму, яка знаходиться в HPA та DCO?

Я також бачив це на сторінці Wiki і трохи хвилювався:

hdparm має більш серйозний недолік: він може вибити з ладу комп'ютер і зробити дані на своєму диску недоступними, якщо певні параметри неправильно використовуються. Із приблизно шістдесяти семи параметрів декілька небезпечні і можуть призвести до "масової пошкодження файлової системи" при використанні без розбору.

Отже, протріть диск з DBAN безглуздо (PRNG, 8 пропуск). Пізніше стало відомо, що DBAN не вбиває HPA (захищена зона хоста) та DCO (накладення конфігурації Диска)

Таким чином, у нас є основне визнання, тут диск був стертий, тому на диску не існує таблиці розділів, файлової системи та даних. Отже, не може бути пошкоджених даних або пошкодження файлової системи, як вони відсутні, DBAN переконавшись у цьому, тому наступне попередження HDPARM не застосовується.

hdparm має більш серйозний недолік: він може вибити з ладу комп'ютер і зробити дані на своєму диску недоступними, якщо певні параметри неправильно використовуються. Із приблизно шістдесяти семи параметрів декілька небезпечні і можуть призвести до "масової пошкодження файлової системи" при використанні без розбору.

Запустіть завантажувальний диск Linux та запустіть hdparm

Щоб використовувати HDPARM для очищення HPA

Для x = пристрою, на який ви орієнтовані, використовуйте наступну команду HDPARM, щоб показати, чи активовано HPA.

# hdparm -N /dev/sdx

Якщо у вас визначено HPA, він викличе щось на кшталт наступного:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Щоб видалити HPA та розширити видиму область на повний розмір диска, використовуйте знаменник у вищезгаданому звіті (видима область / максимум секторів):

# hdparm -N p78165360 /dev/sdx

Він поверне звіт про те, що видима площа дорівнює максимальним секторам і що HPA вимкнено.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Щоб використовувати HDPARM, щоб перевірити, чи є DCO, і повернути його до заводських значень

Оскільки DCO встановлений виробником, ви повинні прийняти, що возитися з ним, можливо, цегла приводу. Але тоді це найменше ваших проблем, якщо ви думаєте, що у вас є якась складна шкідлива програма, яка насправді може зіпсуватись із цим. Щоб побачити DCO, використовуйте таку команду HDPARM.

# hdparm --dco-identify /dev/sdx

У вашому прикладі він дав вам:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Отже, ваш виробник дисків використовує DCO для визначення допустимих режимів передачі даних (MDMA, UDMA), реального розміру диска (максимум секторів) та команд ATA / SATA, які можна відключити.

Якщо ви хочете спробувати повернути DCO до заводських значень, ви можете скористатися відкладеною командою HDPARM:

# hdparm --dco-restore /dev/sdx

Він поверне вам наступне попередження про те, що зміна DCO призведе до повної втрати даних. Подумайте про це як про зміну розміру розділу або витирання таблиці розділів і відновлення з невірними параметрами. На витертому диску ви вже втратили дані, так? В основному вибачте, що ви не створили резервну копію своїх даних перед тим, як продовжувати, ви SOL, якщо DCO не збігається після запуску команди, і ви думаєте, що щось буде відновлено з накопичувача через перепризначення розміру.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Згідно з інструкціями, ви додаєте такий перемикач "Я приймаю наслідки":

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

І це говорить вам:

/dev/sdx:
issuing DCO restore command

Нещодавно у мене виникли проблеми з накопичувачем 1 ТБ, як 1 КБ, а дисковий менеджер не повідомив про носій інформації. Я використовував безкоштовну програму під назвою DiskCheckup з Passmark.com.

Після запуску програми та вибору ураженого диска я натиснув на «приховану» вкладку, щоб знайти 3 поля введення. Перший "Max User LBA" показав лише 1: другий та третій (Native and Disk) показали правильне число. Я поставив галочку, щоб дозволити зміни, і ввів правильне число до першого поля, щоб усі 3 показали однакову кількість LBA. Потім натисніть кнопку «Застосувати»: все готово.

Ще в диспетчері дисків я натиснув "пересканувати" в меню "Дії", і моя повна інформація про розділи повернулася з повним доступом до диска. Можливо, вам доведеться замінити MBR, якщо це завантажувальний привід, використовуючи щось на зразок EasyRE.

Вибачте, я шукав відповідь раніше і не зрозумів, що це сайт Linux, і моя відповідь стосується лише Windows.

У мене є кілька пропозицій щодо того, як слід чистити ваш жорсткий диск. Ви можете побачити мою відповідь тут -

/server/56280/fastest-surest-way-to-erase-a-hard-drive/537341#537341

Схоже, що відкритий код не такий веселий, як виглядає. Інструмент із закритим джерелом у розмірі 50 доларів може зробити роботу для мене, але я не придбав його, оскільки його занадто дорого.