Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Analisi MBR

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Analisi MBR

Messaggioda Pulcepiccola » mer ago 31, 2011 3:51 am

Carissimi,

volevo chiedervi alcune spiegazioni sui tool per analizzare il Master Boot Record (MBR dell'hardisk) e per eliminare eventuali infezioni che si trovano nei settori del disco esterni alla partizione.

Leggendo questo articolo http://www.MegaLab.it/3915/2/mbr-rootki ... diffusione il primo tool è mbr.exe messo a disposizione da GMER. A quale link si trova l'ultima versione del programma?

Inoltre se non ho capito male con mbr.exe si può anche ripristinare il MBR e quindi togliere tutta l'infezione presente nei settori esterni alla partizione, previa pulizia dei settori all'interno della partizione con, magari, un rescue disk, per eliminare il file sorgente.

Allora se con mbr.exe si cura anche l'infezione dei settori esterni alla partizione, quando si utilizza il più complesso HxD? http://www.MegaLab.it/7049/guida-operat ... ei-rootkit

Ci sono altri tool oltre a mbr.exe che analizzano il mbr e ti dicono se è infetto o meno e poi eventualmente rimuovono l'infezione dai settori del disco esterni alla partizione/filesystem?

[grazie] mille

[ciao] [ciao]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: Analisi MBR

Messaggioda Palpas » mer ago 31, 2011 9:05 am

Hxd è un editor esadecimale. Puoi vederci tutto quello che vuoi...anche il MBR (basta che invece di aprire un file apri l'unità disco e guardi il settore 0)

MBR.exe invece è un tool che si occupa solo del MBR reperendo informazioni e fixandolo in caso sia necessario
Zane grazie per l'esperienza MLI
Avatar utente
Palpas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2544
Iscritto il: mar set 25, 2007 4:48 pm

Re: Analisi MBR

Messaggioda Pulcepiccola » mer ago 31, 2011 11:35 am

Ciao Palpas, grazie mille

Quindi se non ho capito male con mbr.exe, capiamo se un eventuale rootkit ha modificato il master boot record( il settore 0 del disco/hard disk) ed in caso affermativo lo ripristiniamo ( con mbr.exe). Però Mbr.exe ci dice anche quali sono eventuali altri settori esterni alla partizione dove il rootkit è andato a mettere codice malevolo. Però con mbr.exe non possiamo ripristinare questi settori ( perché possiamo fixare solo il master boot record) per cui dobbiamo ripulire i settori in questione con HxD (Hxd editor esadecimale). Giusto?

Grazie mille

[ciao] [ciao]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm


Re: Analisi MBR

Messaggioda Palpas » mer ago 31, 2011 11:47 am

Sono andato a leggere la documentazione ufficiale di MBR.exe, in pratica c'è scritto che i rootkit solitamente scrive oltre che nel settore 0, anche nel 61 e 62 (come nel tuo caso). Alla luce di questo presumo che MBR.exe riesca a ripulire anche tali settori.
Zane grazie per l'esperienza MLI
Avatar utente
Palpas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2544
Iscritto il: mar set 25, 2007 4:48 pm

Re: Analisi MBR

Messaggioda Uomo_Senza_Sonno » mer ago 31, 2011 1:00 pm

Pulcepiccola ha scritto:Però con mbr.exe non possiamo ripristinare questi settori ( perché possiamo fixare solo il master boot record) per cui dobbiamo ripulire i settori in questione con HxD (Hxd editor esadecimale). Giusto?


Palpas ha scritto:Sono andato a leggere la documentazione ufficiale di MBR.exe, in pratica c'è scritto che i rootkit solitamente scrive oltre che nel settore 0, anche nel 61 e 62 (come nel tuo caso). Alla luce di questo presumo che MBR.exe riesca a ripulire anche tali settori.

Vere entrambe, ma molto dipende dalla variante del rootkit. Alcuni una volta utilizzato il tool diventano innoqui pur lasciando traccia nei settori (e per questo motivo mbr.exe continuerà a rilevare eventuali settori che normalmente non devono essere scritti), altri rimangono completamente integri sebbene venga riscritto il MBR. Per quanto riguarda la mia esperienza personale, ho sempre dovuto ripulire i settori con l'editor esadecimale o eseguire uno zerofiilng del disco, perché il tool di GMER è stato praticamente inutile.

Nella documentazione ufficiale è scritto che in genere si annidano in quei settori lì, perché in genere nelle partizioni dove viene installato XP (se non vengono installate partizioni nascoste per il ripristino alle condizioni di fabbrica o cose simili) vengono lasciati vuoti circa 62 settori dopo il settore 0. Ma questo non è una verità assoluta, perché non tutte le partizioni sono uguali: molto spesso altre copie del codice vengono scritte nei settori che vengono dopo l'altro estremo di partizione, ed è per questo che è fondamentale capire quali sono i settori-estremi di partizione prima di procedere a qualsiasi pulizia. Se nel disco viene installato Vista o 7 gli estremi di partizione cambiano notevolmente, quindi i settori liberi dopo il MBR possono essere più di 62.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Analisi MBR

Messaggioda Pulcepiccola » mer ago 31, 2011 5:15 pm

Ciao Uomo_Senza_Sonno, Palpas,

vi ringrazio per le delucidazioni.

E' questo l'indirizzo giusto per reperire l'ultima versione di mbr.exe? Così di tanto in tanto faccio una prova
http://www2.gmer.net/mbr/mbr.exe

[grazie] ancora

[ciao] [ciao]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: Analisi MBR

Messaggioda Uomo_Senza_Sonno » mer ago 31, 2011 5:52 pm

Certamente, è il link ufficiale [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Analisi MBR

Messaggioda Pulcepiccola » mer ago 31, 2011 5:59 pm

[grazie] mille Uomo_Senza_Sonno

Ho dato uno sguardo al sito ufficiale e ho trovato in realtà anche il tool GMER http://www.gmer.net/

Ma mbr.exe e GMER svolgono la stessa funzione?
Si può usare indifferentemente l'uno o l'altro? Oppure in alcuni casi si preferisce mbr.exe (quando?) ed in altre situazioni si preferisce GMER ( quando?)

[grazie] ancora

[ciao] [ciao]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm

Re: Analisi MBR

Messaggioda Uomo_Senza_Sonno » mer ago 31, 2011 10:38 pm

Più o meno... GMER è un tool per rilevare eventuali minacce rootkit presenti nel pc e indica anche quali processi sono interessati nell'infezione, lo Stealth Rootkit Detector (mbr.exe) invece è specifico per leggere MBR e tutto quanto è presente al di fuori del filesystem. Per un controllo sullo stato di salute del MBR mi accodo al consiglio già dato di utilizzare il Rootkit Detector. [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Analisi MBR

Messaggioda Pulcepiccola » mer ago 31, 2011 11:08 pm

[^] Uomo_Senza_Sonno,

[grazie] mille

Notte [;)]

Pp
Avatar utente
Pulcepiccola
Bronze Member
Bronze Member
 
Messaggi: 763
Iscritto il: dom ott 10, 2010 3:49 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising