www.MegaLab.it

Come ultimo caso, prendiamo in considerazione il disco di un portatile con Windows Vista in lingua italiana.

Nella lettura della tabella di partizione, notiamo che è presente una partizione nascosta, utilizzata dal sistema operativo per le operazioni di recovery, la partizione del sistema operativo e la partizione dati. In più, facciamo attenzione alle prime righe del settore 1: noterete una sigla nel lato destro che corrisponde al seriale del portatile. Soffermiamoci sempre sulla tabella di partizione per stabilire quali sono gli estremi del filesystem:

• negli offset 1C6-1C9 è presente il valore 00 00 08 00, corrispondente al settore 2048 ed è il primo estremo di partizione;
• negli offset 1D6-1D9 è rappresentata la distanza dal settore 0 della partizione nascosta;
• negli offset 1E6-1E9 è rappresentata la distanza dal settore 0 della partizione di sistema;
• negli offset 1EA-1ED è rappresentata la distanza in settori della partizione dati dalla partizione di sistema;

Per calcolarci il secondo estremo del filesystem dobbiamo quindi considerare i valori presenti negli offset 1E6-1ED, ovvero 09 E1 98 00 (offset 1E6-1E9) e 08 BF F8 00 (offset 1EA-1ED) ed avremo il valore 12A19000, ovvero il settore 312578048.

Gli offset utilizzati sono stati i seguenti:

• settori 2-2047, offset iniziale 400, finale FFFFF;
• settori 312578048-312581808, offset iniziale 2543200000, finale 25433D61FF;

In questo caso il rootkit non ha modificato il settore 0, per cui non è stato necessario dare i comandi dalla console di ripristino.