www.MegaLab.it

Il motivo che fa ricadere la scelta su HxD è la sua capacità di accedere, oltre ai file, anche direttamente in lettura e scrittura alla memoria RAM e ai dischi rigidi. Questa particolarità è fondamentale per poter procedere con la rimozione delle infezioni da rootkit, in più è completamente gratuito ed è disponibile in Italiano (link per il download), anche in versione portable.

Una volta installato e avviato, il programma si presenterà con questa finestra.

Andiamo a selezionare la voce Extra, poi la voce Apri disco

Si aprirà una finestra dove ci chiederà quale disco aprire. Noi dovremo aprire, per il momento in modalità di sola lettura, il disco fisico (Hard Disk)...

... per visualizzare il settore 0 del disco, come nell'immagine.

Soffermiamoci un momento sui pulsanti disponibili nella barra degli strumenti: a parte le icone riguardanti l'apertura di nuovi file e salvataggio, i pulsanti per l'apertura di RAM e dischi, abbiamo tre menu a tendina dove viene indicata la suddivisione in colonne (di default è 16), la codifica dei caratteri (di default è ANSI) e la notazione numerica (di default in notazione esadecimale). Lasciamo tutto com'è.

Alla voce Settore possiamo scorrere i settori che c'interessano, inserendo semplicemente il numero di quello che vogliamo visualizzare

I pulsanti invece ci permettono di andare avanti settore per settore oppure di saltare direttamente all'ultimo o al primo.

Gli Offset sono valori in formato esadecimale che dovremo utilizzare più avanti e ci serviranno per determinare i limiti di scrittura dei settori: in ogni riga ci sono rappresentate 16 coppie di bytes, il cui valore è definito dal numero della colonna, di conseguenza l'offset completo non è il valore numerico che leggiamo nel lato sinistro della finestra, ma va aggiunto alla colonna interessata; ad esempio, le signature del disco sono nell'offset 01FE (bytes 55, riga 01F0, colonna 0E) e nell'offset 01FF (bytes AA riga 01F0, colonna 0F).

Questo è quanto inizialmente necessario per familiarizzare con HxD, in seguito vedremo come editare i settori e comprendere se sono presenti delle infezioni o meno.

C'è da sottolineare che HxD è da utilizzare solo in caso di reale necessità e sempre dopo aver rilevato delle anomalie e/o problemi nel sistema operativo mediante tool specifici come lo Stealth Rootkit Detector o simili.

Inoltre, per scongiurare il ripresentarsi del problema, è caldamente consigliato effettuare, prima di procedere con l'editing manuale dei settori, una scansione con un qualsiasi rescue disk al fine di rilevare l'eventuale file che ha inoculato l'infezione.