Come rimuovere MBR Rootkits / bootkits?

2

Come posso rimuoverli dai dischi rigidi interni e dalle chiavette USB? Possono infettare le schede MicroSD o altro? DVD? cd?

Ho sentito che è possibile farlo con un CD live tramite la formattazione. Quali sono i metodi migliori?

    
posta Alister 18.07.2018 - 11:08
fonte

3 risposte

0

L'ho trovato, Il seguente comando dalla finestra del terminale di Linux come root cancellerà l'mbr

sudo dd if = / dev / zero di = / dev / sda bs = 512 count = 1 Questo cancellerà il primo settore (512 byte) del disco rigido / dev / sda. Assicurati che questa sia l'unità giusta da cancellare! Quindi, tieni scollegato l'unità di backup esterna, per evitare qualsiasi errore grave.

Per cancellare qualcosa prima della (prima) prima partizione del disco, situata al 1 ° MiB, è possibile cancellare 2048 settori: Questo è il caso in cui un virus ha usato quell'area per memorizzare qualsiasi informazione.

sudo dd if = / dev / zero di = / dev / sda bs = 512 count = 2048

Quindi è necessario solo il secondo comando.

L'unico modo GUI per cancellare l'mbr sarebbe quello di creare una nuova tabella delle partizioni. Ciò riguarda solo il settore di avvio principale. Tuttavia, poiché c'era una tale storia di virus, è più sicuro pulirne qualcuna, non solo il mbr.

Ancora non cancella il Volume Boot Record, che può anche essere infetto.

    
risposta data 22.07.2018 - 12:06
fonte
1

Considerare l'utilizzo di uno strumento in grado di pulire l'MBR, come Disco di ripristino . Assicurati di cancellare l'MBR e di non ripararlo, poiché in genere non puoi sapere se il malware verrebbe rimosso riparando.

Credo sia giusto presumere che se si dispone di un MBR scrivibile, potrebbe essere infetto. Quindi, sì, un utente malintenzionato potrebbe infettare le schede MicroSD. I DVD / CD (unità ottiche) funzionano in modo diverso (vedi UDF e ISO 9660 ), non usano un MBR.

Per la creazione di un Live CD, è meglio usare software dedicato in quanto si prende cura di diverse varianti, che si tratti di hardware / firmware o configurazione, come sistema operativo o partizionamento.

Quindi, se è necessario assicurarsi di aver rimosso qualsiasi possibile malware sull'unità:

  1. Crea un MBR pulito, praticamente ripristinando il partizionamento del disco.
  2. Formatta le nuove partizioni.

Entrambi i passaggi sono necessari, poiché si tratta di due passaggi logicamente diversi e in genere uno non influisce sull'altro.

    
risposta data 18.07.2018 - 12:03
fonte
0

Tutto quello che devi fare è avviare un LiveCD o un'installazione di Windows o qualsiasi sistema operativo che preferisci e formattare sia USB che HDD che risolveranno un tipico rootkit.

Il rootkit è solo per nascondere particolari malware ma sì può infettare qualsiasi media come MicroSD, USB, CD, DVD, BIOS e così via. Può diventare più complesso infettando i router riscrivendo il firmware lì. Naturalmente, estremamente raro e dovrebbe essere programmato per quella versione particolare del router. Il BIOS è anche un altro raro rootkit.

Alcuni buoni articoli di lettura per te:

Bad USB

Bad USB - Soluzione

Rootkit

    
risposta data 18.07.2018 - 11:50
fonte

Leggi altre domande sui tag