MegaLab.it

Inviato: **mer ago 31, 2011 3:51 am**

Carissimi,

volevo chiedervi alcune spiegazioni sui tool per analizzare il Master Boot Record (MBR dell'hardisk) e per eliminare eventuali infezioni che si trovano nei settori del disco esterni alla partizione.

Leggendo questo articolo http://www.MegaLab.it/3915/2/mbr-rootki ... diffusione il primo tool è mbr.exe messo a disposizione da GMER. A quale link si trova l'ultima versione del programma?

Inoltre se non ho capito male con mbr.exe si può anche ripristinare il MBR e quindi togliere tutta l'infezione presente nei settori esterni alla partizione, previa pulizia dei settori all'interno della partizione con, magari, un rescue disk, per eliminare il file sorgente.

Allora se con mbr.exe si cura anche l'infezione dei settori esterni alla partizione, quando si utilizza il più complesso HxD? http://www.MegaLab.it/7049/guida-operat ... ei-rootkit

Ci sono altri tool oltre a mbr.exe che analizzano il mbr e ti dicono se è infetto o meno e poi eventualmente rimuovono l'infezione dai settori del disco esterni alla partizione/filesystem?

[grazie]

mille

Pp

Inviato: **mer ago 31, 2011 9:05 am**

Hxd è un editor esadecimale. Puoi vederci tutto quello che vuoi...anche il MBR (basta che invece di aprire un file apri l'unità disco e guardi il settore 0)

MBR.exe invece è un tool che si occupa solo del MBR reperendo informazioni e fixandolo in caso sia necessario

Inviato: **mer ago 31, 2011 11:35 am**

Ciao Palpas, grazie mille

Quindi se non ho capito male con mbr.exe, capiamo se un eventuale rootkit ha modificato il master boot record( il settore 0 del disco/hard disk) ed in caso affermativo lo ripristiniamo ( con mbr.exe). Però Mbr.exe ci dice anche quali sono eventuali altri settori esterni alla partizione dove il rootkit è andato a mettere codice malevolo. Però con mbr.exe non possiamo ripristinare questi settori ( perché possiamo fixare solo il master boot record) per cui dobbiamo ripulire i settori in questione con HxD (Hxd editor esadecimale). Giusto?

Grazie mille

[ciao]

Pp

Inviato: **mer ago 31, 2011 11:47 am**

Sono andato a leggere la documentazione ufficiale di MBR.exe, in pratica c'è scritto che i rootkit solitamente scrive oltre che nel settore 0, anche nel 61 e 62 (come nel tuo caso). Alla luce di questo presumo che MBR.exe riesca a ripulire anche tali settori.

Inviato: **mer ago 31, 2011 1:00 pm**

Pulcepiccola ha scritto:Però con mbr.exe non possiamo ripristinare questi settori ( perché possiamo fixare solo il master boot record) per cui dobbiamo ripulire i settori in questione con HxD (Hxd editor esadecimale). Giusto?

Palpas ha scritto:Sono andato a leggere la documentazione ufficiale di MBR.exe, in pratica c'è scritto che i rootkit solitamente scrive oltre che nel settore 0, anche nel 61 e 62 (come nel tuo caso). Alla luce di questo presumo che MBR.exe riesca a ripulire anche tali settori.

Vere entrambe, ma molto dipende dalla variante del rootkit. Alcuni una volta utilizzato il tool diventano innoqui pur lasciando traccia nei settori (e per questo motivo mbr.exe continuerà a rilevare eventuali settori che normalmente non devono essere scritti), altri rimangono completamente integri sebbene venga riscritto il MBR. Per quanto riguarda la mia esperienza personale, ho sempre dovuto ripulire i settori con l'editor esadecimale o eseguire uno zerofiilng del disco, perché il tool di GMER è stato praticamente inutile.

Nella documentazione ufficiale è scritto che in genere si annidano in quei settori lì, perché in genere nelle partizioni dove viene installato XP (se non vengono installate partizioni nascoste per il ripristino alle condizioni di fabbrica o cose simili) vengono lasciati vuoti circa 62 settori dopo il settore 0. Ma questo non è una verità assoluta, perché non tutte le partizioni sono uguali: molto spesso altre copie del codice vengono scritte nei settori che vengono dopo l'altro estremo di partizione, ed è per questo che è fondamentale capire quali sono i settori-estremi di partizione prima di procedere a qualsiasi pulizia. Se nel disco viene installato Vista o 7 gli estremi di partizione cambiano notevolmente, quindi i settori liberi dopo il MBR possono essere più di 62.

Inviato: **mer ago 31, 2011 5:15 pm**

Ciao Uomo_Senza_Sonno, Palpas,

vi ringrazio per le delucidazioni.

E' questo l'indirizzo giusto per reperire l'ultima versione di mbr.exe? Così di tanto in tanto faccio una prova
http://www2.gmer.net/mbr/mbr.exe

[grazie]

ancora

Pp

Inviato: **mer ago 31, 2011 5:52 pm**

Certamente, è il link ufficiale [^]

Inviato: **mer ago 31, 2011 5:59 pm**

mille Uomo_Senza_Sonno

Ho dato uno sguardo al sito ufficiale e ho trovato in realtà anche il tool GMER http://www.gmer.net/

Ma mbr.exe e GMER svolgono la stessa funzione?
Si può usare indifferentemente l'uno o l'altro? Oppure in alcuni casi si preferisce mbr.exe (quando?) ed in altre situazioni si preferisce GMER ( quando?)

[grazie]

ancora

Pp

Inviato: **mer ago 31, 2011 10:38 pm**

Più o meno... GMER è un tool per rilevare eventuali minacce rootkit presenti nel pc e indica anche quali processi sono interessati nell'infezione, lo Stealth Rootkit Detector (mbr.exe) invece è specifico per leggere MBR e tutto quanto è presente al di fuori del filesystem. Per un controllo sullo stato di salute del MBR mi accodo al consiglio già dato di utilizzare il Rootkit Detector. [^]

Inviato: **mer ago 31, 2011 11:08 pm**

Uomo_Senza_Sonno,

[grazie]

mille

Notte [;)]

Pp

MegaLab.it

Analisi MBR

Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR

Re: Analisi MBR