WD Marvel Repair Tool

Утилита для восстановления HDD WD Marvel

Текущее время: 14 дек 2017, 16:57

  • Часовой пояс: UTC




    Начать новую тему  Ответить на тему  [ 21 сообщение ]  На страницу 1 2 3 След.
    Автор Сообщение
    СообщениеДобавлено: 17 фев 2015, 21:26 
    Не в сети

    Зарегистрирован: 18 янв 2015, 10:24
    Сообщения: 97
    http://snob.ru/selected/entry/88033

    Цитата:
    Хакеры начали устанавливать шпионские программы с 2001 года. Они ставили на «винчестеры» модули, которые перепрограммировали заводскую прошивку, после чего получали контроль над компьютерами. Переустановка системы или форматирование диска не избавляло жесткие диски от вируса-шпиона.

    «Лаборатория Касперского» считает, что модуль может проникнуть во встроенное программное обеспечение более одного десятка производителей жестких дисков, в частности, Western Digital, Maxtor и Micron Technology. В компаниях Western Digital, Seagate и Micron сообщили, что не знают о шпионских программах, в Toshiba и Samsung от комментариев отказались.


    Что скажут гуру? ;-)


    Вернуться к началу
    СообщениеДобавлено: 17 фев 2015, 21:56 
    Не в сети
    Разработчик

    Зарегистрирован: 13 авг 2013, 07:53
    Сообщения: 3210
    Бред


    Вернуться к началу
    СообщениеДобавлено: 17 фев 2015, 22:32 
    Не в сети

    Зарегистрирован: 01 янв 1970, 00:00
    Сообщения: 851
    причем махровый


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 00:21 
    В сети

    Зарегистрирован: 01 янв 1970, 00:00
    Сообщения: 642
    теоретически возможно.
    К примеру тут перец исследовал возможность вмешаться:
    http://spritesmods.com/?art=hddhack
    Но это слишком сложно, нужно учитывать массу модификаций хардов и фирмварей.
    А в сообщениях HDD всех производители упоминаются
    Ну даже если допустить, что амерканские производители показывают код FW своим службам безопасности.
    То японцы и другие вряд ли дадут.

    А вот через USB коробку или USB плату вполне можно вирус запустить c любого HDD.
    Есть коробки USB, которые подменяют несколько секторов в начале диска, на сектора из флешки USB контроллера.
    Сам сталкивался с такими. Форматируешь хард, вставляешь в коробку - нет MBR
    И наоборот форматируешь чистый хард в USB коробке, подключаешь хард в SATA - нет MBR.
    Ну а дальше все просто. Такой "заражённый" USB контроллер, например, после 113 включения, подменяет нормальный MBR и несколько секторов на код вируса в загрузчике. Ну и дальше все обычно.
    Ну и продать такую коробочку на пути следования сотрудников на работу нужного банка или фирмы, плевое дело. Выкинул дешёвую партию в ближайший магазинчик, а сотрудникам, которых уже знают в лицо, легко впарить подделку, идеально похожую на изделие производителя.
    ps.
    ссылку взял здесь:
    http://forum.hddguru.com/viewtopic.php?f=3&t=30564

    Но вот последствия для нас от этого скандала, будут самые неприятные.
    Производители HDD зашифруют всю SA, хрен чего починишь и поднимешь данные.


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 06:03 
    Не в сети
    Разработчик

    Зарегистрирован: 13 авг 2013, 07:53
    Сообщения: 3210
    не возможно даже теоретически
    1 подменять сектор нельзя в лоб, хард не знает ни как он будет разбит, ни какая ос будет стоять

    2 как оно сможет распространяться при современных ОС без доступа к физ памяти и портам ввода вывода? тащить подписаный мелкомягкими драйвер или предлагать пользователю перезагрузиться в режим без проверки подписи? :)

    3 если подменять сектор, должно находиться любым антивирусом, винту не сообщают кто читает сектор, биос или антивирус

    4 где оно в винте может жить, что бы получить доступ к процу винта? кроме какого-то ата оверлея негде
    у одной только ВД версий оверлеев и сильно различных СА море просто
    Поддержка более менее вменяемого парка моделей винтов раздует такой вирус до состояния просто не влазит в СА винта

    Ну и дальше продолжить можно :)


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 09:28 
    Не в сети
    Аватара пользователя

    Зарегистрирован: 23 авг 2013, 10:04
    Сообщения: 1346
    Откуда: Крым, Симферополь
    ну вот, меня уже на серьезе спрашивают могу ли я полечить винты от этого вируса :P :
    http://www.zerohedge.com/news/2015-02-1 ... ploit-ever


    Изображение


    Производители жестких дисков отрицают, что предоставляли АНБ исходный код
    http://1prime.ru/News/20150217/802722589.html

    "При этом представитель Seagate Клайв Овер заявил, что диски компании производятся так, что, по мнению компании, внедрение внутрь диска становится невозможным."
    http://1prime.ru/News/20150217/802722589.html


    https://securelist.com/files/2015/02/Eq ... nswers.pdf
    Код:
    The plugin version 3 has the ability to reprogram six drive “categories”:
    •  “Maxtor”, “Maxtor STM”
    •  “ST”, “Maxtor STM”, <Seagate Technology>
    •  “WDC WD”, <Western Digital Technologies, Inc>
    •  “SAMSUNG”, <SAMSUNG ELECTRONICS CO. LTD>
    •  “WDC WD”, <Western Digital Technologies, Inc> additional vendor specific
    checks used (spawns two subclasses)
    •  <Seagate Technology>
    The plugin version 4 is more ....
    For example, in the case of Seagate
    drives, we see a chain of commands:

    “FLUSH CACHE” (E7) →
    “DOWNLOAD MICROCODE” (92) →
    “IDENTIFY DEVICE” (EC) →
    WRITE “LOG EXT” (3F).



    Цитата:
    инфицированных USB палки со скрытой области хранения была использована для сбора основной информации о системе с компьютера, не подключенного к Интернету и отправить его в C & C, когда флешка была подключена к компьютеру зараженного Фанни и имеющий Интернет подключение. Если нападавшие хотели выполнять команды на воздушно-гэп сетей, они могут сохранить эти команды в скрытой области памяти USB.

    http://www.kaspersky.com/about/news/vir ... -espionage

    на флэшке тоже "скрытые" области.....



    но...

    http://www.securitylab.ru/contest/437841.php
    https://xakep.ru/2011/12/26/58104/

    _________________
    http://doctorhdd.narod.ru/


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 09:40 
    Не в сети

    Зарегистрирован: 01 янв 1970, 00:00
    Сообщения: 575
    Откуда: Украина, Харьковская обл.
    ну, чисто теоретически:
    1. используем стандартный механизм HPA и откусывем сзади нужный кусок... при современных объемах - мало кто заметит пропажу нескольких сот МБ
    2. В появившееся хранилище кладем все нужное
    3. Анализируем производителя, модель, версию вари и чего-то интегрируем в родное ПО
    4. Все следы своей работы (если сбор инфы) храним все там же - в области, откушеной по HPA


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 09:57 
    Не в сети

    Зарегистрирован: 01 янв 1970, 00:00
    Сообщения: 33
    Откуда: Тольятти
    тоже задумывался раньше об этом.и что в ум пришло так это тоже о HPA механизме...


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 10:33 
    Не в сети
    Разработчик

    Зарегистрирован: 13 авг 2013, 07:53
    Сообщения: 3210
    Разве винт даст читать по логике откушеное по HPA?
    Ну и точно биос и опереционка при старте не загрузят ничего из этой области, там оно и останется на веки вечные:)


    Вернуться к началу
    СообщениеДобавлено: 18 фев 2015, 10:38 
    Не в сети

    Зарегистрирован: 01 янв 1970, 00:00
    Сообщения: 575
    Откуда: Украина, Харьковская обл.
    Host protected area
    Материал из Википедии — свободной энциклопедии

    host protected area (HPA), иногда расшифровывают как hidden protected area[1] - это область жесткого диска, которая не видна в операционной системе (ОС). Может быть выделена средствами BIOS некоторых материнских плат или специального программного обеспечения. В этой области может храниться информация о параметрах работы ПК, которая записывается туда при проверке системы средствами производителя ПК. Например так поступает фирма DELL на некоторых ноутбуках. Также в скрытой области может содержаться информация для восстановления программного обеспечения ПК к первоначальному состоянию. В некоторых случаях область используется для сокрытия информации с целью сделать ее максимально недоступной.


    Судя по утверждениям Вики как-то туда можно достучаться:)


    Вернуться к началу
    Показать сообщения за:  Поле сортировки  
    Начать новую тему  Ответить на тему  [ 21 сообщение ]  На страницу 1 2 3 След.

  • Часовой пояс: UTC


    Кто сейчас на конференции

    Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей


    Вы не можете начинать темы
    Вы не можете отвечать на сообщения
    Вы не можете редактировать свои сообщения
    Вы не можете удалять свои сообщения
    Вы не можете добавлять вложения

    Найти:
    Перейти:  
    Восстановление информации с HDD
    2017 © WDmarvel.com