www.MegaLab.it

Nella procedura indicata per l'azzeramento dei settori si è preso ad esempio un hard disk con una singola partizione, senza la presenza di partizioni nascoste e/o suddivisioni in ulteriori partizioni del disco. Poiché i dischi non sono tutti uguali, e i rootkit si insediano in settori esterni alle partizioni in maniera del tutto casuale, riporto una serie di esempi dove estrapoleremo gli estremi di partizione e vedremo cosa azzerare.

Gli esempi riportati sono tutti casi sottoposti nella sezione "sicurezza", e portati a soluzione senza problemi, ed in questo primo esempio abbiamo un disco dove è presente il dual boot Windows 7/ Windows XP, in cui sono presenti 4 partizioni, di cui due nascoste.

Le informazioni necessarie le estrapoliamo dalla tabella di partizione, per cui ci soffermiamo su queste cinque righe (offset 1B0-1FD)

• dall'offset 1C6 all'offset 1CD troviamo la distanza in settori della prima partizione nascosta;
• dall'offset 1D6 all'offset 1DD troviamo la distanza in settori della prima partizione di sistema;
• dall'offset 1E6 all'offset 1ED troviamo la distanza in settori di una partizione estesa;
• dall'offset 1F6 all'offset 1FD troviamo la distanza in settori della seconda partizione di sistema;

Il primo estremo è estremamente facile ottenerlo: infatti, il valore 3F presente nell'offset 1C6 corrisponde al settore 63, ossia il primo estremo del filesystem. Ricavarsi il secondo estremo, invece, non è così immediato, ma non così complicato.

Guardiamo gli offset che vanno da 1F6 a 1FD: i valori compresi dall'offset 1F6 all'offset 1F9 rappresentano la somma delle distanze in settori delle altre partizioni presenti, mentre i valori compresi dall'offset 1FA all'offset 1FD è la distanza in settori dell'ultima partizione.

Ricordo che i valori rappresentati negli offset sono rappresentati in notazione little-endian, per cui i valori compresi dall'offset 1F6 all'offset 1F9 non vanno letti come 97 A2 C2 03 ma 03 C2 A2 97 e i valori compresi dall'offset 1FA all'offset 1FD non vanno letti come 72 27 61 05 ma 05 61 27 72; la somma di questi valori ci fa ottenere il valore 09 23 CA 09 ovvero il settore 153340425, cioè il primo settore adiacente all'altro estremo del filesystem, come da figura

In questo settore è stata eseguita la copia del MBR sano per cui questo settore può essere utilizzato per ripristinare il settore 0 e per azzerare i settori successivamente. A questo punto, per l'azzeramento dei settori esterni al filesystem dobbiamo tenere conto dei seguenti offset:

• settori 1-62 offset iniziale 200, finale 7DFF;
• settori 153340425- 153356490 offset iniziale 1247941200, finale 12481195FF;

Prima di procedere con il controllo con HxD è stato eseguito un controllo con lo Stealth Rootkit Detector che ha generato il seguente log:

device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x0923CA0C! PE file found in sector at 0x0923CA22!

Nel log non si evince la copia del MBR sano, molto probabilmente questa variante di rootkit è stato progettato per occultarne la copia. Tuttavia, con HxD non può sfuggirci nulla: a conferma di quanto vediamo con l'editor, troviamo l'inizio del codice virale nel settore 153340428, e la coda del codice nel settore 153340450.