Harddrive - уничтожить "скрытые области", такие как HPA и DCO, также после заражения вредоносным ПО
Фон -
Вредоносное ПО в Windows (да), возможно, руткит / буткит. Не хочу рисковать. Итак, вытерли диск с DBAN по глупости (PRNG, 8 проходов). Позже стало известно, что DBAN не уничтожает HPA (защищенную область хоста) и DCO (наложение конфигурации диска), которые являются "скрытыми областями" (если они есть) на жестком диске. Видел, что HDDErase производства CMRR может удалить DCO и HPA, если они есть. Но проект был остановлен в 2005 или 7. Итак, я пришел в HDPARM linux в надежде, что он очистит мой жесткий диск на 100%, чтобы я мог снова установить дрянные окна на 100% чистый жесткий диск. Кроме того, я также посмотрел на "BC Wipe Total Wipeout", который выполняет удаление HPA и DCO за $50.
Текущая настройка - Ubuntu 11 на флеш-накопителе USB 3,6 ГБ. Мой жесткий диск не имеет операционной системы.
Я - Обычный пользователь компьютера с небольшим навыком в bash, то есть я действительно не знаю, что делаю.
Вопросы -
Если вы хотите увидеть наличие HPA, вы должны использовать
hdparm -N /dev/sda, Он показывает мне количество секторов и что HPA отключен.Что это за /dev/sda? Это мой жесткий диск или флешка, на которой у меня есть Ubuntu? Я предполагаю, что это жесткий диск, потому что я попробовал команду и увидел описание жесткого диска в результатах. Я старался
sudo hdpamr -I /dev/sda, Вот некоторые из результатов -Устройство ATA с несъемным носителем Номер модели: ST320LT007-9ZV142
Это диск Seagate 320 ГБ, 7200 об / мин.
Выход из sudo hdparm --dco-identify /dev/sda
/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
Transfer modes:
mdma0 mdma1 mdma2
udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
Real max sectors: 625142448
ATA command/feature sets:
SMART self_test error_log security HPA 48_bit
(?): selective_test conveyance_test write_read_verify
(?): WRITE_UNC_EXT
SATA command/feature sets:
(?): NCQ interface_power_management SSP
Что означает этот выход DCO? Как я могу гарантировать, что в DCO нет возможности вредоносного ПО?
Есть ли способ узнать размер с точки зрения ГБ вместо секторов?
Сможет ли hdparm выполнить 100% очистку жесткого диска, чтобы уничтожить вредоносные программы, находящиеся в HPA и DCO? Я видел это на вики-странице и немного волновался -
У hdparm есть более серьезный недостаток: он может дать сбой компьютеру и сделать данные на его диске недоступными при неправильном использовании определенных параметров. Из приблизительно шестидесяти семи параметров некоторые являются опасными и могут привести к "огромному повреждению файловой системы" при использовании без разбора.
3 ответа
Итак, вытерли диск с DBAN по глупости (PRNG, 8 проходов). Позже стало известно, что DBAN не убивает HPA (защищенная область хоста) и DCO (наложение конфигурации диска)
Итак, у нас есть базовый допуск, что диск был стерт, поэтому на нем нет таблицы разделов, файловой системы или данных. Таким образом, не может быть никакого повреждения данных или файловой системы, поскольку ни один не существует, DBAN обеспечил это, и поэтому следующее предупреждение HDPARM не применимо.
У hdparm есть более серьезный недостаток: он может дать сбой компьютеру и сделать данные на его диске недоступными при неправильном использовании определенных параметров. Из приблизительно шестидесяти семи параметров некоторые являются опасными и могут привести к "огромному повреждению файловой системы" при использовании без разбора.
Запустите загрузочный диск Linux и запустите hdparm
Чтобы использовать HDPARM для очистки HPA
Для x = целевое устройство, используйте следующую команду HDPARM, чтобы показать, включен ли HPA.
# hdparm -N /dev/sdx
Если вы определили HPA, это будет выглядеть примерно так:
/dev/sdx:
max sectors = 78125000/78165360, HPA is enabled
Чтобы удалить HPA и расширить видимую область до полного размера диска, используйте знаменатель в приведенном выше отчете (видимая область / макс. Секторы):
# hdparm -N p78165360 /dev/sdx
Он выдаст отчет о том, что видимая область равна максимальному количеству секторов и что HPA отключен.
/dev/sdx:
setting max visible sectors to 78165360 (permanent)
max sectors = 78165360/78165360, HPA is disabled
Использование HDPARM для проверки наличия DCO и возврата к заводским настройкам по умолчанию
Поскольку DCO настроен производителем, вы должны согласиться с тем, что возмущение может привести к поломке диска. Но тогда это наименьшая из ваших проблем, если вы думаете, что у вас есть какое-то сложное вредоносное ПО, которое может на самом деле с ним связываться. Чтобы увидеть DCO, используйте следующую команду HDPARM.
# hdparm --dco-identify /dev/sdx
В вашем примере это дало вам:
/dev/sda:
DCO Revision: 0x0001
The following features can be selectively disabled via DCO:
Transfer modes:
mdma0 mdma1 mdma2
udma0 udma1 udma2 udma3 udma4 udma5 udma6(?)
Real max sectors: 625142448
ATA command/feature sets:
SMART self_test error_log security HPA 48_bit
(?): selective_test conveyance_test write_read_verify
(?): WRITE_UNC_EXT
SATA command/feature sets:
(?): NCQ interface_power_management SSP
Таким образом, ваш производитель дисков использует DCO для определения допустимых режимов передачи данных (MDMA, UDMA), реального размера диска (макс. Секторов) и команд ATA/SATA, которые можно отключить.
Если вы хотите попытаться вернуть DCO к заводским настройкам по умолчанию, вы можете использовать следующую команду HDPARM:
# hdparm --dco-restore /dev/sdx
Он выдаст вам следующее предупреждение о том, что изменение DCO приведет к полной потере данных. Думайте об этом как об изменении размера раздела или уничтожении таблицы разделов и восстановлении ее с неверными параметрами. На вытертом диске вы уже потеряли данные, а? Извините, что вы не сделали резервные копии своих данных, прежде чем продолжить, вы - SOL, если DCO не соответствует после выполнения команды, и вы думаете, что что-либо будет восстановлено с диска из-за переназначения размера.
/dev/sdx:
Use of --dco-restore is VERY DANGEROUS.
You are trying to deliberately reset your drive configuration back to
the factory defaults.
This may change the apparent capacity and feature set of the drive,
making all data on it inaccessible.
You could lose *everything*.
Please supply the --yes-i-know-what-i-am-doing flag if you really want this.
Program aborted.
В соответствии с инструкциями добавьте следующий переключатель "Я принимаю последствия":
# hdparm --yes-i-know-what-i-am-doing --dco-restore /dev/sdx
И это говорит вам:
/dev/sdx:
issuing DCO restore command
У меня недавно возникла проблема с диском емкостью 1 ТБ, о котором было сообщено как 1 КБ, а диспетчер дисков сообщил об отсутствии носителя Я использовал бесплатную программу DiskCheckup от Passmark.com.
После запуска программы и выбора поврежденного диска я щелкнул вкладку "скрытый", чтобы найти 3 поля ввода. Первый "Max User LBA" показал только 1: второй и третий (Native и Disk) показали правильный номер. Я установил флажок, чтобы разрешить изменение, и набрал правильный номер в первом поле, чтобы все 3 отображали одинаковое количество LBA. Затем нажмите кнопку "Применить": все готово.
Вернувшись в диспетчер дисков, я щелкнул "rescan" в меню "Действия", и моя полная информация о разделе вернулась с полным доступом к диску. Возможно, вам придется заменить MBR, если это загрузочный диск, использующий что-то вроде EasyRE.
Извините, я искал ответ раньше и не понял, что это сайт Linux, и мой ответ относится только к Windows.
У меня есть несколько советов о том, как очистить жесткий диск. Вы можете увидеть мой ответ здесь -
https://serverfault.com/questions/56280/fastest-surest-way-to-erase-a-hard-drive/537341
Похоже, с открытым исходным кодом не так радужно, как выглядит. Инструмент с закрытыми исходными кодами за 50 $ может сделать работу для меня, но я не купил это, потому что это слишком дорого.