naprawa MBR rootkit.pdf
(
1395 KB
)
Pobierz
http://www.bezpieczenstwosystemow.pl/index.php?PHPSESSID=892c85e4c5bfe59b29b3e6442d33dd
0e&topic=2890.msg7130#msg7130
1
Stealth MBR rootkit - Sprawdzenie i czyszczenie (MBR) dysku twardego
Na wstępie
Master Boot Record
MBR (ang. Master Boot Record) – główny rekord startowy, czyli umowna struktura
zapisana w pierwszym sektorze dysku twardego. Często nazywany też Master Boot Block
(ang. główny blok startowy). Zawiera on program rozruchowy oraz główną tablicę
partycji (w przypadku dysku twardego – dyskietki zwykle nie posiadają tablicy partycji).
MBR ma 512 bajtów długości, z czego pierwsze 446 bajtów zajmuje bootstrap. Druga
część MBR – tablica partycji – zawiera 4 struktury opisujące poszczególne partycje
podstawowe, każda po 16 bajtów. MBR kończą 2 bajty sygnatury – szesnastkowo 0x55
0xAA, co daje 446 + (4 · 16) + 2 = 512.
MBR znajduje się na pierwszej ścieżce, w pierwszym cylindrze, w pierwszym sektorze
dysku (CHS — 0, 0, 1).
Budowa MBR
Tworzenie kopii MBR
Informacje zawarte w MBR można edytować, np. za pomocą programu
MBRtool
pod
DOSem albo narzędziami Windows do wersji Me. Program MBRtool pozwala także na
wykonanie kopii MBR na dyskietce.
W trybie graficznym Windows XP można wykonać kopię np darmowym programem
HDHacker.
W systemie Linux kopię MBR możemy wykonać programem dd, np.:
Kod:
dd if=/dev/hda of=mbr bs=512 count=1
zapisze kopie MBR pierwszego dysku PATA (hda) w zbiorze mbr.
Kod:
2
dd if=mbr of=/dev/hda bs=512 count=1
odtworzy MBR pierwszego dysku PATA (hda) ze zbioru mbr.
Uwaga: nie przechowywać kopii na dysku, którego MBR kopiujemy.
Naprawa MBR
Jeżeli uszkodzeniu ulegnie MBR to jest możliwość jego naprawy z wiersza poleceń:
Kod:
fdisk /mbr
Usunięcie MBR
Jeżeli chcemy wyczyścić MBR to wystarczy uruchomić komputer używając dowolnej
dystrybucji Linux LiveCD i z wiersza poleceń wydać polecenie:
Kod:
dd if=/dev/zero of=/dev/hda bs=512 count=1
Źródło =>
http://pl.wikipedia.org
Autor programu Gmer , stworzył małe narzędzie za pomocą którego mozemy sprawdzić i
wyczyścić główny rekord startowy (Master Boot Record) naszego dysku twardego który
może być zainfekowany Rootkitem , więcej w tym temacie =>
KLIK
Cały przebieg usuwania i opis autora programu możemy znaleść tu
KLIK
Sposób użycia
- Pobieramy narzędzie =>
MBR.EXE
=>
KLIK
Zapisujemy koniecznie na dysku
C:\
Uruchamiamy sciągnięty plik
MBR.exe
=>
przez dwuklik lewym myszy.
W zależności czy narzędzie coś wykryje czy nie pokaże log i zapisze go na dysku
C:\
( głownie będzie tam gdzie jest zapisane
MBR.exe
)
mbr.log
3
Zainfekowany log ; przykład
Cytuj
Stealth MBR rootkit detector 0.2.2 by Gmer,
http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x10 hook detected !
malicious code @ sector 0x3fdc80 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !
Czysty bez infekcji ; przykład
Cytuj
Stealth MBR rootkit detector 0.2.2 by Gmer,
http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK.
Czyszczenie zainfekowanego MBR
W celu wyczyszczenia naszego Głównego Rekordu Rozruchowego (MBR) dysku
twardego , należy wejść w
tryb awaryjny z obsługą lini komend
i wpisać komende
( pamietamy że nasz
MBR.exe
ma byc zapisany na dysku C:\ inaczej komenda nie
zadziała)
C:\mbr.exe -f
=> standardowa komenda poleceń spacja przed
-f
Czyli po wejściu w ten tryb mamy ściezke swojego konta np:
C:\Documents and Settings\Mariusz
I wklepujemy tą komende i enter.
4
Robimy restart i uruchamiamy znowu MBR.exe spradzając czy mamy wynik czystego
loga
Źródło
na podstawie
http://www.gmer.net.pl
+ SE by
@Picasso
○Tryb
Awaryjny
○Wyłączenie
przywracania systemu XP oraz Me
○Przejmowanie
uprawnień plików i folderów
○Autologowanie
do systemu Windows
○Przeglądanie
podglądu zdarzeń
○Wbudowane
konto Administratora
○Resetowanie
hasła konta użytkownika
○Komunikat
podczas zamykania systemu
♦
Tryb Awaryjny
jest narzędziem diagnostycznym służącym do rozwiązywania
problemów związanych z uruchamianiem systemu jak i jego działaniem. Do Trybu
Awaryjnego wchodzimy poprzez naciśnięcie klawisza
F8
w, nie których przypadkach są
to klawisze
F4
lub
F5
zaraz po wykonaniu
Power On Self Test Biosu.
98, Me, 2000, XP
System XP/2000
5
Plik z chomika:
tulipan53
Inne pliki z tego folderu:
mbr.exe
(68 KB)
mbr.log
(0 KB)
naprawa MBR rootkit.doc
(3210 KB)
naprawa MBR rootkit.pdf
(1395 KB)
Inne foldery tego chomika:
01-Paragon Drive Backup 8;9 i 10
02-Acronis Disk Director 12.0.3223 pl -full.rar
AOMEI Backupper Standard
DISK WIPE
EASEUS Partition
Zgłoś jeśli
naruszono regulamin