Ổ cứng - xóa sạch các khu vực ẩn của MSN, như HPA và DCO sau khi bị nhiễm phần mềm độc hại

Lý lịch:

Tôi đã nhận được một số phần mềm độc hại trong Windows, có thể là rootkit hoặc bootkit. Tôi không muốn có bất kỳ cơ hội nào, vì vậy đã dại dột xóa sạch ổ đĩa của mình bằng DBAN (PRNG, 8 pass). Sau đó, người ta biết rằng DBAN không giết HPA (Khu vực được bảo vệ máy chủ) hoặc DCO (Lớp phủ cấu hình ổ đĩa) là "khu vực ẩn" được sử dụng bởi một số ổ đĩa cứng.

Tôi thấy rằng HDDErase do CMRR tạo ra có thể loại bỏ HPA và DCO nếu có, nhưng dự án đã bị dừng vào năm 2005 hoặc 2007. Vì vậy, tôi đã đến Linux hdparmvới hy vọng nó sẽ xóa sạch ổ cứng của tôi 100% để tôi có thể cài đặt Windows một lần nữa trên một ổ cứng sạch 100%. Bên cạnh đó, tôi cũng đã xem xét "BC Wipe Total Wipeout", loại bỏ HPA và DCO nhưng có giá $ 50.

Tôi là một người dùng máy tính trung bình có ít kỹ năng Bash, tức là tôi không thực sự biết mình đang làm gì.

Câu hỏi:

Ổ đĩa của tôi là ổ Seagate 320GB 7200RPM.

Đầu ra của sudo hdparm --dco-identify /dev/sda:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

1. Sản lượng này có nghĩa là gì? Làm cách nào để đảm bảo rằng không có khả năng phần mềm độc hại còn lại trên HPA DCO?

2. Có cách nào để tìm ra kích thước theo GB thay vì các ngành không?

3. Sẽ hdparmxóa sạch tất cả các phần mềm độc hại có trong HPA và DCO?

Tôi cũng thấy điều này trên trang Wiki và hơi lo lắng:

hdparm có một nhược điểm nghiêm trọng hơn: nó có thể làm sập máy tính và khiến dữ liệu trên đĩa của nó không thể truy cập được nếu các tham số nhất định bị sử dụng sai. Trong số khoảng sáu mươi bảy tham số, một số là nguy hiểm và có thể dẫn đến "tham nhũng hệ thống tập tin lớn" khi được sử dụng một cách bừa bãi.

Vì vậy, xóa sạch ổ đĩa với DBAN một cách dại dột (PRNG, 8 vượt qua). Sau này mới biết rằng DBAN không giết HPA (khu vực được bảo vệ máy chủ) và DCO (Lớp phủ cấu hình ổ đĩa)

Vì vậy, chúng tôi có một nhập học cơ bản ở đây ổ đĩa đã bị xóa do đó không có bảng phân vùng, hệ thống tệp hoặc dữ liệu trên ổ đĩa. Vì vậy, không thể có tham nhũng dữ liệu hoặc tham nhũng hệ thống tệp vì không tồn tại, DBAN đã đảm bảo điều này và vì vậy cảnh báo HDPARM sau đây không được áp dụng.

hdparm có một nhược điểm nghiêm trọng hơn: nó có thể làm sập máy tính và khiến dữ liệu trên đĩa của nó không thể truy cập được nếu các tham số nhất định bị sử dụng sai. Trong số khoảng sáu mươi bảy tham số, một số là nguy hiểm và có thể dẫn đến "tham nhũng hệ thống tập tin lớn" khi được sử dụng một cách bừa bãi.

Bật đĩa khởi động Linux của bạn và chạy hdparm

Để sử dụng HDPARM để xóa HPA

Đối với x = thiết bị bạn đang nhắm mục tiêu, hãy sử dụng lệnh HDPARM sau để hiển thị nếu bạn đã bật HPA.

# hdparm -N /dev/sdx

Nó sẽ nhổ trở lại một cái gì đó như sau nếu bạn đã xác định HPA:

/dev/sdx:
max sectors   = 78125000/78165360, HPA is enabled

Để loại bỏ HPA và mở rộng vùng hiển thị ra kích thước đầy đủ của ổ đĩa, hãy sử dụng mẫu số trong báo cáo trên (vùng hiển thị / vùng tối đa):

# hdparm -N p78165360 /dev/sdx

Nó sẽ gửi lại một báo cáo rằng vùng nhìn thấy bằng với các cung tối đa và HPA bị vô hiệu hóa.

/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors   = 78165360/78165360, HPA is disabled

Để sử dụng HDPARM để kiểm tra xem có DCO không và đặt nó về mặc định của nhà sản xuất

Vì DCO được thiết lập bởi nhà sản xuất, bạn phải chấp nhận rằng việc gây rối với nó sẽ có thể làm hỏng ổ đĩa. Nhưng đó là vấn đề ít nhất của bạn nếu bạn nghĩ rằng bạn có một số phần mềm độc hại tinh vi thực sự có thể gây rối với nó. Để xem DCO, sử dụng lệnh HDPARM sau.

# hdparm --dco-identify /dev/sdx

Trong ví dụ của bạn, nó đã cho bạn:

/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
    Transfer modes:
         mdma0 mdma1 mdma2
         udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
    Real max sectors: 625142448
    ATA command/feature sets:
         SMART self_test error_log security HPA 48_bit
         (?): selective_test conveyance_test write_read_verify
         (?): WRITE_UNC_EXT
    SATA command/feature sets:
         (?): NCQ interface_power_management SSP

Vì vậy, nhà sản xuất ổ đĩa của bạn sử dụng DCO để xác định các chế độ truyền dữ liệu được phép (MDMA, UDMA), kích thước thực của ổ đĩa (các cung tối đa) và các lệnh ATA / SATA có thể bị vô hiệu hóa.

Nếu bạn muốn thử hoàn nguyên DCO về mặc định của nhà sản xuất, bạn có thể sử dụng lệnh HDPARM theo sau:

# hdparm --dco-restore /dev/sdx

Nó sẽ nhổ lại cho bạn cảnh báo sau đây rằng việc thay đổi DCO sẽ gây mất tổng dữ liệu. Hãy nghĩ về nó như thay đổi kích thước phân vùng hoặc xóa sạch bảng phân vùng và khôi phục nó với các tham số không chính xác. Trên một đĩa bị xóa, bạn đã mất dữ liệu, eh? Về cơ bản, Xin lỗi, bạn không sao lưu dữ liệu trước khi tiếp tục, bạn là SOL nếu DCO không khớp sau khi chạy lệnh và bạn nghĩ mọi thứ sẽ được phục hồi từ ổ đĩa vì việc gán lại kích thước.

/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.

Theo hướng dẫn, bạn thêm công tắc "Tôi chấp nhận hậu quả" sau đây:

# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx

Và nó cho bạn biết:

/dev/sdx:
issuing DCO restore command

Tôi đã gặp sự cố gần đây với ổ 1TB được báo cáo là 1KB và Trình quản lý đĩa báo cáo không có phương tiện truyền thông. Tôi đã sử dụng một chương trình miễn phí có tên DiskCheckup từ Passmark.com.

Sau khi chạy chương trình và chọn đĩa bị ảnh hưởng, tôi đã nhấp vào tab 'ẩn' để tìm 3 hộp nhập. 'LBA người dùng tối đa' đầu tiên chỉ hiển thị 1: thứ hai và thứ ba (Bản địa và đĩa) hiển thị số chính xác. Tôi đánh dấu vào hộp kiểm để cho phép thay đổi và nhập đúng số vào ô đầu tiên để cả 3 hiển thị cùng số LBA. Sau đó, nhấp vào nút 'Áp dụng': tất cả đã hoàn tất.

Quay lại Trình quản lý đĩa, tôi đã bấm 'quét lại' trong menu Hành động và thông tin phân vùng đầy đủ của tôi đã trở lại với quyền truy cập đầy đủ vào ổ đĩa. Có thể là bạn sẽ phải thay thế MBR nếu đó là ổ đĩa có khả năng khởi động bằng cách sử dụng thứ gì đó như EasyRE.

Xin lỗi, đã duyệt tìm câu trả lời trước đó và không nhận ra đây là trang Linux và câu trả lời của tôi chỉ áp dụng cho Windows.

Tôi có một số gợi ý về cách xóa sạch ổ cứng của bạn. Bạn có thể thấy câu trả lời của tôi ở đây -

/server/56280/festest-surest-way-to-erase-a-hard-drive/537341#537341

Có vẻ như nguồn mở không phải là màu hồng như nó có vẻ. Một công cụ nguồn đóng $ 50 có thể thực hiện công việc cho tôi, nhưng tôi đã không mua nó vì nó quá đắt.