www.MegaLab.it

Ora che abbiamo chiara l'importanza del settore 0, soffermiamoci ad estrapolare gli estremi di partizione, fondamentali per capire dove andare a cercare eventuali infezioni da rootkit. Prendiamo in esame questo disco da circa 80GB (156301488x512= 80026361856 bytes)

E guardiamo la tabella di partizione

Avremo tutte le informazioni riguardanti il tipo di partizione, la suddivisione delle partizioni in primarie e/o estese, gli estremi di partizione e la dimensione complessiva della stessa. Quanto ci interessa sono i valori scritti in questa porzione di riga, o comunque nelle righe comprese tra gli offset 1C0 e 1F0

In quell'intervallo sono infatti indicati i valori degli estremi della partizione rappresentati in notazione esadecimale little-endian, come ampiamente descritto qui (si raccomanda la lettura approfondita di questa parte). Altri esempi li riporteremo più avanti nella casistica che andremo ad esaminare.

Quindi:

• 3F 00 00 00 lo leggeremo 00 00 00 3F e rappresenta la distanza dal settore 0;
• C1 A5 50 09 lo leggeremo 09 50 A5 C1 e rappresenta la dimensione della partizione in settori;

Ora, se 3F in sostanza rappresenta il primo estremo della partizione, quale sarà il secondo estremo? Per ottenerlo dobbiamo sommare i valori, quindi avremo 3F+09 50 A5 C1=950A600 ovvero l'altro settore dove risiede l'estremo della partizione. La notazione è esadecimale, per cui è sufficiente convertire il valore in decimale per ottenere il numero del settore, in questo caso 156280320. Il numero di settore ottenuto indica il primo settore esterno alla partizione, di conseguenza tenete presente che il settore dove risiedono le istruzioni che delimitano la partizione sono nel settore precedente al calcolato. Per maggiore sicurezza dei calcoli effettuati, accertatevi che nei settori indicati ci sia l'istruzione ëR.NTFS (con filesystem NTFS); nel calcolo di esempio dobbiamo andare a guardare il settore 63 (3F esadecimale corrisponde a 63 decimale) e il settore precedente al 156280320, ovvero il 156280319 e noteremo che sono identici

Questi calcoli, sebbene siano semplici addizioni, è bene eseguirli con estrema calma e attenzione poiché è fondamentale, per il passo successivo, ottenere i valori giusti. Prima di procedere con la pulizia, è assolutamente importante sapere che i rootkit:

• si insediano nei settori compresi all'esterno del filesystem per rimanere irraggiungibili agli antivirus; quindi dovremo controllare i settori che vanno dal MBR (settore 0) al primo estremo di partizione (in questo caso il settore 63) e dal secondo estremo di partizione (in questo caso il settore 156280320) fino all'ultimo settore disponibile del disco;
• sovrascrivono l'MBR, in genere con una lingua differente dal quella di installazione: se noi abbiamo partizionato il disco con un sistema operativo in lingua italiana e ci troviamo con un MBR con diciture in inglese, c'è una discreta probabilità di avere un'infezione da rootkit; tuttavia, ci sono alcune eccezioni che vedremo più avanti che potrebbero ingannare l'utente, e se non si è sicuri è sempre meglio chiedere ad esperti;
• eseguono una copia di backup del MBR sano in un settore casuale, ma sempre all'esterno del filesystem; questo espediente consente al rootkit di agire indisturbato e di rimanere invisibile alle suite di sicurezza poiché impedisce di leggere il vero settore 0 ma invia le informazioni del settore di backup; questa copia può essere utilizzata per sovrascrivere il settore 0 infetto;
• in alcuni casi si possono facilmente trasferire da un disco all'altro, semplicemente collegandolo al proprio PC, per cui è necessario controllare ogni supporto utilizzato e/o collegato alla macchina infetta;

Tenendo conto di questi aspetti, procediamo con la pulizia dei settori.