MBRとBIOSのほかに、ルートキットがハードドライブのフォーマット後も持続することは可能ですか？

通常は違います。自己起動領域ではありません。 「帯域外」の領域では、ディスクワイプによって上書きされないデータがある可能性がありますが、これらの領域には通常はアクセスできません。そうすると、その領域はワイプからもアクセス可能になります。

理論的には、非常に大きいの値は理論的には、はい。 someハードドライブには、そこにmayアクセス可能で、自己起動し、複雑なマルウェアをホストできる3番目のメモリ領域があります（たとえば、 最小Linuxカーネル と同じくらい複雑）。

（更新：上記のトリック カスペルスキーによって実際に報告されました ）

この領域は通常、ハードドライブがホストコンピューターに接続されているデータケーブルを介して（プログラミングのために）アクセスされるのではなく、製造プロセス中にのみ使用される専用のJTAGコネクタを介してアクセスされます。

また、プログラミング命令は、ハードドライブコントローラーのCPUチップに合わせて特別に調整する必要があります。同じHTTPプロトコルがMotorola搭載の古いMacまたはIntel 80386によって「発声」されるのと同じように、2つのCPUが同じ言語を「話す」ことはないため、同じ製造元の2つのディスクにAvagoチップが搭載されている場合があります。 、またはマーベルのもの-そして、それらは異なる完全に互換性のない指示を必要とします。

次に、問題は、マルウェアを特別に標的化する必要があることであり、すべてではないにしても、ほとんどの場合、カスタムによるJTAGコネクタへのハードウェアの物理的アクセスケーブルが必要になります。したがって、純粋なソフトウェアマルウェアにはチャンスはありません。いくつかのプログラミングバックドアが製造元によってファームウェアで焼き付けられていなかった場合を除いて、いくつかの費用を節約し、JTAG全体を使わずに済ませるために。 予想通り、そうだったようです。

このようにしてハッキングされたディスクは完全に信頼できないです。 SATAケーブルからハードディスクに対して行うことは、実際には、ユーザーに代わってアクションを実行するためのディスクSoCへの丁寧な要求にすぎません。改ざんされていないSoCは従います（または、嘘をついてyourの利点：たとえば、セクターが即座に書き込まれたことを報告しますが、実際には、パフォーマンスを向上させるためにライトバックキャッシュに保持されています）。改ざんされたSoCは、それに従っていない可能性があり、嘘をつきます（そうするか、改ざんしても意味がありません）。

ブートローダーを上書き（要求）し、それを読み戻して、ゼロにされたという熱狂的な確認を受け取ることができます。 （頼む）その場所にクリーンなブートローダーを書いて、それを再度読んで、それがhasが書かれてコミットされたという傲慢な確認を受け取ります。次に、電源を入れ直します---still悪意のあるブートローダーを、本来あるはずのディスクではなく、ディスクから取り出します bluepilling システム。

もちろん、マルウェアは感染するために使用中のオペレーティングシステムを認識し、それを介してファイル、ネットワーク、キーボードなどへのより高度なアクセスを取得する必要があります。これは、オペレーティングシステムを妨害して、独自のコードをディスクからロードしようと試み、代わりに感染ルーチンを含む変更されたコードを提供することによって行われます。変更されたコードはオペレーティングシステムと互換性がある必要がありますandより高度な手法を使用しない限り、オペレーティングシステムが自身のコードを自己チェックする場合、それは無力です。

実際の確率は、合理的に一般的なシナリオの場合、十分に考慮されています。

一方、NSAの作業に対する感謝の印として新しいデスクトップを受け取った場合は、ディスクをワイプし、HPAとDCOをゼロにし、 Gutmann-blasting すべてのシングルを消去します。 十分ではない。