#26 Le 16/05/2013, à 15:44
- Nasman
Re : Détection & Eradication des virus de boot
Le disque contient un certain nombre d'octets, à priori lié à la surface magnétique totale du disque. Les secteurs sont sensés faire 512 octets et la taille du disque n'est pas forcément un multiple de secteurs. De plus selon l'ancienne géométrie, seul un nombre entier de cylindres était utilisé et donc l'ensemble des partitions tenait sur un multiple de 16065 secteurs (un cylindre faisant 255x63=16065 secteurs). Ce qui dépassait était hors partitions - ce qui n'empêche pas d'y écrire des trucs avec dd.
Enfin les blocs correspondent à une taille de 1024 octets, soit 1 kio, soit 2 secteurs.
Si tu regardes les résultats de fdisk tu as une taille exprimée en blocs et parfois tu as un + derrière. Le + signifie 1/2 kio soit 512 octets soit un secteur. C'est le cas quand ta partition contient un nombre impair de secteurs
Par exemple
/dev/sda4 176120656 312576704 68228024+ 5 Étendue
La partition se termine en 312576704, soit le début de l'espace qui suit en 312576705. La partition débutant en 176120656, cela nous fait 312576705-176120656=136456049 secteurs, soit 136456049/2 = 68228024,5 kio, d'où le 68228024+
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#27 Le 16/05/2013, à 17:26
- moko138
Re : Détection & Eradication des virus de boot
voxpopuli a écrit :J'ai entendu dire que des virus hight tech plus rare pouvaient aussi se cacher dans la ROM du bios (soucis réglable via flashage du bios (dangereux) voir en enlevant la pile sur la carte mère pendant 2 min => testé sur une vieille machine qui refusait de démarrer)
J'ai lu ceci : rootkit - Pour info, les rootkits résistent au formatage en résidant dans le BIOS !
Voui, j'ai suivi le lien vers
http://www.zdnet.fr/actualites/des-cher … 388963.htm
et alors ? As-tu cherché comment on grave une rom ?
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#28 Le 18/05/2013, à 16:03
- ViKToR69
Re : Détection & Eradication des virus de boot
Si tu regardes les résultats de fdisk tu as une taille exprimée en blocs et parfois tu as un + derrière. Le + signifie 1/2 kio soit 512 octets soit un secteur. C'est le cas quand ta partition contient un nombre impair de secteurs
oui effectivement j'avais déjà vu le signe + dans la colonne Blocs ... merci pour les précisions ...
Concernant l'utilisation de dd pour remplir de zéro (effacer) une zone du disque dur, en l'occurence celui de 160Go /dev/sda:
- de 0 à 512 octets (le 1 ier secteur) : sudo dd if=/dev/zero of=/dev/sda bs=512 count=1 pas de problème, on est d'accord
Mais pour bien comprendre:
- de 0 à 1048576 octets (les 2048 premier secteurs=1Mio) : est-il mieux de faire sudo dd if=/dev/zero of=/dev/sda bs=512 count=2048
ou sudo dd if=/dev/zero of=/dev/sda bs=1048576 count=1
et l'histoire d'enfoncer le clou:
- de 0 à 2097152 octets (les 4096 premier secteurs=2Mio) : idem sudo dd if=/dev/zero of=/dev/sda bs=512 count=4096
ou sudo dd if=/dev/zero of=/dev/sda bs=2097152 count=1
pour remplir de zéro le disque dur (celui de 160Go) entier de 0 à 160041885696 octets:
sudo dd if=/dev/zero of=/dev/sda bs=512 count=312581808 ou sudo dd if=/dev/zero of=/dev/sda bs=160041885696 count=1 ?
Si maintenant je souhaite remplir de zéro la fin de mon disque dur (celui de 40Go) c'est à dire les derniers 713216 octets=696,5Kio dont je parlais plus haut, comment faire ?
@moko138
Pour graver une ROM/EPROM en tant que composant discrét (c'est à dire non soudée sur la CM) il faut théoriquement un programmateur d'EPROM qui va générer un timing de signaux (signal d'horloge, niveau de tension très précis ...) afin que le programme créé par l'utilisateur puisse être injecté dans l'EPROM. Ensuite, cette EPROM associée à un CPU permettra au programme de s'exécuter.
Maintenant, programmer une EPROM in-situ (soudée sur la CM) revient à un Flashage ... c'est tout ce que je sais !
Dernière modification par ViKToR69 (Le 18/05/2013, à 16:58)
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#29 Le 18/05/2013, à 16:22
- moko138
Re : Détection & Eradication des virus de boot
@moko138
Pour graver une ROM/EPROM en tant que composant discrét (c'est à dire non soudée sur la CM) il faut théoriquement un programmateur d'EPROM qui va générer un timing de signaux (signal d'horloge, niveau de tension très précis ...) afin que le programme créé par l'utilisateur puisse être injecté dans l'EPROM. Ensuite, cette EPROM associée à un CPU permettra au programme de s'exécuter.
Maintenant, programmer une EPROM in-situ (soudée sur la CM) revient à un Flashage ... c'est tout ce que je sais !
Donc, dans un cas, il faut un accès physique à ta machine pour substituer une puce vérolée à une saine,
dans l'autre, il faut un accès root.
Sommes-nous d'accord ?
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#30 Le 29/06/2013, à 13:12
- ViKToR69
Re : Détection & Eradication des virus de boot
retour sur dd !
donc si je fais :
sudo dd if=/dev/zero of=/dev/sda bs=512 count=1
donc le MBR est effacé car rempli de zéros ... et après, quelle est la manip à suivre ?
ViKToR69 a écrit :@moko138
Pour graver une ROM/EPROM en tant que composant discrét (c'est à dire non soudée sur la CM) il faut théoriquement un programmateur d'EPROM qui va générer un timing de signaux (signal d'horloge, niveau de tension très précis ...) afin que le programme créé par l'utilisateur puisse être injecté dans l'EPROM. Ensuite, cette EPROM associée à un CPU permettra au programme de s'exécuter.
Maintenant, programmer une EPROM in-situ (soudée sur la CM) revient à un Flashage ... c'est tout ce que je sais !Donc, dans un cas, il faut un accès physique à ta machine pour substituer une puce vérolée à une saine,
dans l'autre, il faut un accès root.
Sommes-nous d'accord ?
Je suis incapable de te répondre !
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#31 Le 07/09/2013, à 16:41
- ViKToR69
Re : Détection & Eradication des virus de boot
Salut,
Pas besoin de tout relire le topic ...
Je voudrais juste savoir si en formatant un disque dur contenant une partition étendue (avec plusieurs partitions logiques) et aussi 3 partitions principales, les EBR seront-ils bien supprimés ?
Si tel est le cas, alors pas besoin de passer dd sur les EBR ?
Merci pour les précisions,
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#32 Le 14/09/2013, à 13:40
- ViKToR69
Re : Détection & Eradication des virus de boot
personne pour confirmer ou infirmer ?
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#33 Le 14/09/2013, à 21:17
- Nasman
Re : Détection & Eradication des virus de boot
Si tu efface le mbr, l'indication de l'emplacement de la partition étendue (1er ebr) aura disparu mais cette table (l'ebr contenant l'emplacement de la première partition logique et de l'ebr suivant) sera toujours là. D'une façon générale, tant que l'on n'a pas écrit dessus, les données présentes sur le disque sont potentiellement récupérables.
Je ne sais pas exactement quelle sont les zones touchées lors du formatage mais il y a au moins les tables de partitions et les ebr concernés qui le sont (indication des types de systèmes de fichiers) et aussi les zones amorces des partitions. Je ne sais pas si des marqueurs sont écrits sur toute la partition.
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#34 Le 15/09/2013, à 11:10
- ViKToR69
Re : Détection & Eradication des virus de boot
ok, donc le mieux c'est de passer dd sur tout le disque dur en faisant :
dd if=/dev/zero of=/dev/sda conv=notrunc
mais aussi passer dd sur le MBR et le début du disque (soit 1Mio):
dd if=/dev/zero of=/dev/sda bs=512 count=2048
passer dd sur tout le disque prendra du temps d'après ce que tu m'as déjà dit ... c'est pour ça que je pensais à l'option du formatage ...
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne