Форматировать диск с вирусом
Теперь мой вопрос: шпионские программы, вирусы или другие вредоносные файлы действительно потеряны навсегда, если вы переформатируете свой диск?
Да. Формат диска удалит все, включая шпионские программы и вирусы, а также ваши ценные данные. Сделайте резервную копию ваших данных перед форматированием.
Тем не менее, в жестком диске есть сектор, к которому будет обращаться формат. Это первый сектор жесткого диска, Master Boot Record (MBR). Во время DOS или Windows 9x некоторые умные вирусы изменяют код MBR и находятся в этом секторе. Даже форматирование диска не удалит вирус полностью.
Желательно также переписать MBR, чтобы убедиться, что весь вредоносный код удален.
Для форматирования MBR в DOS/Windows 9x/Windows XP используйте
Чтобы отформатировать MBR в Windows Vista / Windows 7, используйте bootrec.exe в среде восстановления Windows:
Прочтите следующую статью для получения информации о том, как запустить среду восстановления Windows:
В дополнение к тому, что говорили другие, раньше было много вирусов MBR, которые вы не могли удалить простым переформатированием - вам также пришлось перезаписать основную загрузочную запись. Сейчас вирусы MBR кажутся менее распространенными, но они все еще существуют.
В свое время вирусы MBR распространялись через дискеты. По мере развития съемных носителей появляются вирусы, трояны, черви и другие вредоносные программы. Современные вредоносные программы могут распространяться через USB-устройства флэш-памяти и сетевые ресурсы и иногда самораспространяются (то есть выполняются с помощью какого-либо автоматизированного механизма и реплицируются самостоятельно, без вашего вмешательства).
По большей части, если вы переформатируете свой диск, вы должны быть в безопасности. Но если вы используете утилиту очистки диска, такую как DBAN, или записываете нули на диск, вы гарантированно избавитесь от вредоносного ПО, если только вы не заразились от исходного источника или другого зараженного устройства.
Прежде чем вычистить жесткий диск, обязательно сделайте резервную копию всех ваших данных, и с этого момента рассматривайте всю резервную копию как возможный источник заражения, пока вы не отсканируете все резервные копии с помощью нескольких самых популярных антивирусных программ / инструменты защиты от вредоносных программ.
Это лучший материал с ответом на вопрос о том что такое форматирование HDD,каких видов оно бывает и что происходит во время этого процесса, из того что мне удалось найти в интернете.
Как выяснилось, оказывается СОВРЕМЕННЫЙ винчестер физически (технически) невозможно отформатировать на низком уровне ни в домашних условиях, средствами ПК, ни даже в условиях хорошего сервисного центра, т. к. , во-первых, он не приспособлен к этому-в его конструкции (устройстве) попросту нет инструментов для совершения сей процедуры; во-вторых, в виду технических отличий от старых винчестеров, в этом нет необходимости, а то что предлагают разработчики программ для, якобы, НУФ (низкоуровневого форматирования) современного HDD,на самом деле представляет собой всего лишь, говоря простыми словами, обновление прошивки контроллера винчестера, без какой либо переразметки самих магнитных дисков, или, как выразились в вышеупомянутой статье-среднеуровневое форматирование. При НУФ старых HDD происходило полное стирание (обнуление, без возможности восстановления) записи магнитных дисков, подобно тому, как раньше, в магнитофонах, перед записью новой звуковой дорожки записывающей головкой, стирающая головка, расположенная перед ней по ходу движения плёнки, полностью уничтожала старую дорожку. Понятно, что никаких шансов выжить в таких условиях у вирусов не было, т. к. стирались ВСЕ файлы, а вирус-это тоже файл, поэтому, говоря о форматировании старых винчестеров, под которым подразумевалось 3 этапа (НУФ, РЛР (разбиение на логические разделы) и ВУФ (высокоуровневое форматирование)) , можно было с уверенностью сказать что форматирование HDD уничтожит вирусы содержащиеся на нём. Но времена изменились и теперь винчестеры другие. Всё что можно сделать с современным винчестером-это 2 и 3 этап (РЛР и ВУФ) . При ВУФ, говоря простыми словами, удаляются только имена файлов и их адреса, а сами файлы остаются. Это подобно тому, если вы в своём мобильном телефоне очистите записную книжку, удалив все контакты, где записаны имена ваших друзей и номера их телефонов, но это же не значит что от этого погибнут, умрут сами ваши друзья: -)Вы просто потеряете с ними телефонную связь. Так же и с файлами при ВУФ: после этой процедуры ОС теряет связь с ними, но они сами физически остаются. Выходит, и вирусы, если они там были, тоже остаются и если ОС и антивирусник, работающий из под неё,их не видят, это не значит что вирусы её(ОС) не видят, не смогут размножаться и совершать свои злодеяния в организме компьютера. Полное ВУФ отличается от быстрого только проверкой рабочих поверхностей магнитных дисков на"профпригодность"и всё,а никакого стирания данных, как при НУФ, вопреки распространённому заблуждению, не происходит.
В общем, получается так: С СОВРЕМЕННЫМ HDD НЕВОЗМОЖНО ВЫПОЛНИТЬ НУФ=>ПУТЁМ ФОРМАТИРОВАНИЯ НЕВОЗМОЖНО ЕГО СТЕРЕТЬ=>ТАМ ОСТАЮТСЯ ВСЕ ФАЙЛЫ, СРЕДИ КОТОРЫХ МОГУТ БЫТЬ И ВИРУСЫ=>ЭТИ ВИРУСЫ МОГУТ ПРОДОЛЖИТЬ СВОЮ ЖИЗНЕДЕЯТЕЛЬНОСТЬ=>ФОРМАТИРОВАНИЕ СОВРЕМЕННОГО HDD НЕ УНИЧТОЖИТ ВИРУСЫ СОДЕРЖАЩИЕСЯ НА НЁМ.. .Логично?
Хорошо, вот произвели быстрое форматировени - файловая таблица очищена, записана новая загрузочная запись и новая операционная система. При этом, где-то на винте лежать обрывки вируса на никому неизвестных дорожках.
Автор может пояснить каким образом вирус опять перейдёт в активную фазу кода он может вредить и/или размножаться дальше? Кто и что произведёт его запуск на исполнение и кто и что найдёт эти обрывки информации на винте?
Только не надо пытаться убедить меня в том, что файл в котором лежит вирус является опысным сам по себе, и, тем более, тот который для файловой системы уже давно не является файлом, а является судя по записи в таблице файлов - пустым местом )
Так что или кто заставит головки винчестера подойти к тому месту где лежит вирус, считать это место на винте, поместить в память и запустить на исполнение? =)
Даже если говорить о биологическом аналоге - вирусах из области биологии, то даже для них справедлив такой же принцип - чтобы победить вирус не обязательно его уничтожать полностью, надо просто создать условия в которых он не может размножаться далее. Пускай он себе сидит в организме, это никому не мешает жить. Важно чтобы не был запущен механизм его размножения.
Ладно, Чувак, харе троллить народ по ночам.
Ну объясни! А как-же файловые вирусы, например, живущие на флэшках, где нет ни операционной системы, ни реестра? Попадая в компьютер, они и прописываются в реестре рабочей ОС. Точно таким-же образом возможна передача вируса с неочищенного HDD в новую ОС.
Извини, я не читал все. Просто хочу сказать, что вирусы могут содержать как во внешней памяти Винчестер, и т. п. , так и во внутренней.
Yurek Гуру (3077) Этого не требуется (уничтожения) . И ещё один миф - про современные винты. Ты вот в курсе, что происходит когда система делает не быстрое форматирование, а полное? ) Давай ты сейчас сделаешь полное форматирование системного диска и мы поглядим через сколько ты появишься здесь, предварительно восстановив свою систему с форматированного винта. поверь, будет намного меньше желания пиздаболить )
Yurek Гуру (3077) Хочешь резюме по твоему вопросу? Всё, что ты привёл, все эти домыслы - это пустые легенды, неичем не подтверждаемые. Детей пугать годится, может даже школьников, но не более того =)
Дружище, если тебе не интересно читать писанину, как ты выразился и помогать людям в решении их вопросов, не понятно, какого лешего ты вообще тут, на этом проекте делаешь?
Я знаю о таком софте и его эффективности относительно вирусов, но вопрос не о нём, а о конкретно форматировании!
не хрена, даже если ты попробуешь восстановить глубоким анализом жесткий диск вернется часть файлов при том что они будут на половину коценные, а значит все вирусы которые похоронены под форматированием (конечно 5 раз полным) не смогут жить нормально, а так же существует миф что если форматнуть винт более чем 5 раз форматированием там остается одни нули, вот и подумай как они там работают на половину коряво да и при том что их файлы разбросанные по системы просто могут быть уничтожены. Вирус это лишь программа, хоть и гадкая, но она тоже имеет очень много уязвимостей.
Ну и что? Без разметки информация тупо становится недоступной, большинство современных, написанных цул хацкерами на Дельфи, "вирусов" отвалятся сами собой. Может остаться какой-нибудь руткит, но и то вряд ли, особенно если MBR переписать. Для параноиков - перед форматированием зашифровать весь диск, включая резервные сектора, TrueCrypt'ом. Тогда после удаления его загрузочной записи информация станет гарантированно нечитаемой.
Форматировать диск можно в том случае если с него скачана вся полезная информация поскольку при форматировании все данные удалятся.
Форматировать диск стоит в том случае если прописались серьезные вирусы на диске и антивирусная программа их не находит.
При форматировании еще и проверяются диск на предмет испорченных кластеров и информация переносится с них в не поврежденные места.
Процесс форматирования диска необходим для создания структуры хранения данных, которая будет использоваться операционной системой или устройством для доступа к информации на диске.
В настоящее время диски и устройства хранения в большинстве случаев выходят с заводского конвейера уже отформатированными и данный процесс применять необязательно. Исключение составляет случай, если необходима другая файловая система, отличная от заводской разметки (обычно это FAT32), например NTFS, EXT3 и другие.
Кроме того процесс форматирования удаляет всю информацию с устройства (впрочем при некотором упорстве она подлежит восстановлению).
1) Нельзя отформатировать диск с которого загрузилась операционная система. Для обхода ограничения необходимо загрузиться с другого диска (возможно это будет CD или DVD диск, системный диск другого компьютера).
2) Разные файловые системы имеют разные возможности и ограничения (например поддержка файлов большого размера, атрибуты безопасности, журналирование).
3) Для разных операционных систем набор файловых систем различен (у Linux своё, у Windows иное - для примера).
Форматирование жесткого диска, это программное разбиение новой таблицы на поверхности жесткого диска. Разметка обычного жесткого диска при форматировании производится с помощью магнитных меток.
На поверхности диска задаются специальные участки, так называемые, цилиндры, секторы, кластеры. Причем выделяются несколько особых секторов, для служебной информации. Например, загрузочный сектор и сектор специальных данных, в который будут помещаться данные о занятых и свободных кластерах.
В один кластер не может быть помещено более одного файла, если же один файл не умещается в один кластер, то такой файл разбивается на нужное количество частей, а эти части размещаются в разных кластерах. Причем не обязательно, что эти кластеры окажутся соседними. Если соседний кластер занят то следующая часть файла размещается в кластере расположенном в любом месте жесткого диска. Такое явление называется фрагментацией.
При каждом новом форматировании поверхность диска разбивается на новую таблицу, а служебные данные удаляются.
При быстром форматировании удаляется вся информацию о занятых кластерах, и все кластеры помечаются как свободные, хотя при этом реального удаления файлов с поверхности жесткого диска не производится.
При дальнейшей работе диска, запись происходит в кластеры, помеченные как свободные, с перезаписью оставшейся там информации.
Поэтому остается возможность восстановление удаленных данных до тех пор пока кластеры с нужной информацией не будут перезаписаны явно.
Исходя из выше сказанного, нельзя утверждать, что форматирование это простое удаление всех данных с жесткого диска.
Итак: Форматирование это подготовка поверхности жесткого диска, разбиение жесткого диска на специальные разделы и удаление данных о записанных ранее файлах.
Вредоносные программы, которые невозможно стереть с винчестера, все же существуют. Но они так редки и дороги, что вы вряд ли с ними столкнетесь.
17 февраля 2015
Исследование активности кибершпионской группировки Equation, опубликованное командой GReAT «Лаборатории Касперского», описывает несколько чудес техники. Эта давно действующая и очень мощная группа создала серию крайне сложных вредоносных «имплантов», но наиболее интересная находка экспертов — это умение зловреда перепрограммировать жесткие диски жертв шпионажа, благодаря чему «импланты» становятся невидимы и практически неуязвимы.
Это одна из давних страшилок компьютерной безопасности. Неизлечимый вирус, который навсегда остается в компьютерном оборудовании, считался городской легендой последние три десятилетия, но, похоже, кое-кто потратил миллионы долларов, чтобы сделать сказку былью. Некоторые газеты и сайты трактуют эту историю в довольно паническом тоне, заявляя, что хакеры могут «получать таким образом доступ к информации на большинстве компьютеров в мире«. Но нам бы хотелось снизить накал драматизма, поскольку эта возможность, скорее всего, останется такой же редкой, как панды, самостоятельно переходящие дорогу на ближайшем к вам перекрестке.
Давайте прежде всего разберемся, что такое «перепрограммирование прошивки винчестера». Жесткий диск состоит из нескольких компонентов, самыми важными из которых являются собственно носитель информации (магнитные диски для классических винчестеров HDD или чипы флеш-памяти для SSD) и микрочип, который управляет чтением и записью на диск, а также многочисленными сервисными процедурами, например обнаружением и исправлением ошибок.
Как раз этот механизм и научилась эксплуатировать группировка Equation, загружая свою собственную прошивку в жесткие диски 12 различных «категорий» (производителей/моделей). Функции модифицированной прошивки остаются загадкой, но вредоносное ПО на компьютере благодаря ей получает возможность читать и писать данные в специальный подраздел жесткого диска. Мы предполагаем, что этот подраздел становится полностью скрытым как от операционной системы, так и от специальных аналитических программ, работающих с диском на низком уровне. Данные в этой области могут пережить форматирование диска!
Более того, теоретически прошивка способна повторно заражать загрузочную область жесткого диска, делая даже свежеустановленную операционную систему инфицированной. Вопрос дополнительно усложняется тем, что за проверку состояния прошивки и обновление прошивки отвечает… сама прошивка, поэтому никакие программы на компьютере не могут надежно проверить целостность кода прошивки или обновить его с надежным результатом. Иными словами, однажды зараженная прошивка практически недетектируема и неуничтожима. Дешевле и проще выкинуть подозрительный жесткий диск и купить новый.
Впрочем, не бегите за отверткой — мы не ожидаем, что эта предельно мощная возможность инфицирования станет массовой. Даже сама группировка Equation использовала данную функцию всего несколько раз, модуль инфицирования дисков очень редко встречается на компьютерах жертв Equation.
Перепрограммировать жесткий диск гораздо сложнее, чем написать, скажем, программу для Windows. Каждая модель винчестера уникальна, и разработать для нее альтернативную прошивку — долго и дорого. Хакер должен получить внутреннюю документацию производителя (уже очень сложно), купить несколько винчестеров точно такой же модели, разработать и протестировать нужную функциональность, а также запихнуть ее в невеликое свободное место прошивки, сохранив при этом все исходные функции.
Это очень высокоуровневая и профессиональная работа, которая требует месяцев разработки и многомиллионных инвестиций. Поэтому данный тип технологий бессмысленно использовать в криминальных вредоносных программах и даже большинстве целевых атак. Кроме того, разработка прошивок — это «бутиковый» подход ко взломам, который трудно развернуть в широком масштабе. Производители дисков выпускают новые винчестеры и их прошивки чуть ли не каждый месяц, и взламывать каждую из них — трудно и бессмысленно даже группе Equation, не говоря уже обо всех остальных.
Практический вывод из истории прост. Вредоносные программы, заражающие винчестеры, больше не являются легендой, но среднестатистическому пользователю ничего не угрожает. Не крушите винчестер молотком, если только вы не трудитесь над иранской ядерной программой. Больше внимания стоит уделять не столь впечатляющим, но гораздо более вероятным рискам вроде взлома из-за плохого пароля или устаревшего антивируса.
Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.
Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).
Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.
4 место: интерфейс Thunderbolt
Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Читайте также: