Gå til innhold

Nytt utpressingsvirus kommer med ekstremt destruktiv egenskap


Anbefalte innlegg

Videoannonse
Annonse
Skrevet

Er det altså sånn at et det er stort problem at man må formatere disken og reinstallere operativsystemet etter dette angrepet? Er ikke dette noe man gjør uansett hvis man blir utsatt for dette? 

  • Liker 1
Skrevet

"ekstremt destruktiv egenskap" - "Overskriving av denne sektoren kan altså skape store utfordringer som ikke uten videre er enkle å fikse."

Dette er jo sterkt overdrevet. PC kan ikke boote uten MBR, javel. Men er jo enkelt å reinstalle OS, og svært enkelt å gjenopprette et image backup. Finnes også diverse muligheter for å reparere MBR, se TestDisk.

  • Liker 2
Skrevet

Dagens UEFI-systemer er ikke avhengig av (P)MBR. Denne diskblokken må «spyvarene» gjerne overskrive så mye de vil. Alt det andre kan de la være å endre.

Skrevet
Ximalas skrev (4 timer siden):

Dagens UEFI-systemer er ikke avhengig av (P)MBR

Ikke riktig. MBR er entry point for partisjonstabellen. Hvis man sletter MBR så blir disken uinitialisert, dvs uleselig.

Skrevet
On 3/23/2022 at 4:32 PM, Hårek said:

Ikke riktig. MBR er entry point for partisjonstabellen. Hvis man sletter MBR så blir disken uinitialisert, dvs uleselig.

Selv om det er mulig å bruke MBR og UEFI, så er GPT det mest vanlige.

Skrevet
Ximalas skrev (15 minutter siden):

Selv om det er mulig å bruke MBR og UEFI, så er GPT det mest vanlige.

MBR er den første sektoren på en disk. Uavhengig om det er MBR eller GPT partisjonering, så vil første BIOS / UEFI ser etter være MBR signaturen, som er 0x55AA på de to siste byte. Kjør kommandoen diskpart clean, som sletter denne ene sektoren, så blir disken uleselig.
Så påstanden din om at MBR kan overskrives er fullstendig feil.

Skrevet
13 hours ago, Hårek said:

MBR er den første sektoren på en disk. Uavhengig om det er MBR eller GPT partisjonering, så vil første BIOS / UEFI ser etter være MBR signaturen, som er 0x55AA på de to siste byte. Kjør kommandoen diskpart clean, som sletter denne ene sektoren, så blir disken uleselig.
Så påstanden din om at MBR kan overskrives er fullstendig feil.

Nei. Med UEFI og GPT, så brukes en egen partisjon til bootloadere. Windows pleier å gjemme denne partisjonen, så du må gå på jakt. I denne partisjonen (EFI System Partition) vil du finne et FAT32-filsystem. Standard bootloader for amd64 er lagret som \EFI\BOOT\BOOTx64.EFI, men du vil også finne OS-spesifikke kataloger som \EFI\Microsoft, osv.

Skrevet
Ximalas skrev (3 timer siden):

Med UEFI og GPT, så brukes en egen partisjon til bootloadere.

Ja, men det har lite med saken å gjøre. For å komme dit må jo UEFI finne fram på disken, og det går ikke uten MBR.
Det virker som du ikke skjønner hva jeg skriver. Her har du det med teskje:
If "disk unknown not initialized" is accompanied by "unallocated", the likely cause is MBR corruption on the hard drive. MBR, which stands for Master Boot Record, is the first sector on an MBR or GPT disk. It provides information on loading Windows and on the partition of the disk. Thus, when it is corrupted, you will certainly encounter issues, including disk showing as "Not Initialized".

Skrevet (endret)
On 3/25/2022 at 4:06 PM, Hårek said:

MBR brukes ikke i det hele tatt med UEFI og GPT. LBA 0 er irrelevant. LBA 1 og utover er relevant. Jeg anbefaler å lese kapittel 5 med alle avsnitt og avsnitt 13.3 med alle underavsnitt i UEFI-spesifikasjonen. Det er bare 20 sider å lese. 🙂 https://uefi.org/sites/default/files/resources/UEFI_Spec_2_9_2021_03_18.pdf

Endret av Ximalas
Link
Skrevet

Pussig at du ikke klarer å se at dette dokumentet beskriver det motsatte av det du påstår.
5.2.3 Protective MBR: "..a Protective MBR must be located at LBA 0 (i.e., the first logical block) of the disk if it is using the GPT disk layout."
Table 5-3 Protective MBR spesifiserer dette i detalj.

Anbefaler at du tester dette selv med en Disk Editor. Trenger bare å endre en bit i Signature, så blir disken 'not initialized'.

Skrevet
23 hours ago, Hårek said:

Pussig at du ikke klarer å se at dette dokumentet beskriver det motsatte av det du påstår.
5.2.3 Protective MBR: "..a Protective MBR must be located at LBA 0 (i.e., the first logical block) of the disk if it is using the GPT disk layout."
Table 5-3 Protective MBR spesifiserer dette i detalj.

Anbefaler at du tester dette selv med en Disk Editor. Trenger bare å endre en bit i Signature, så blir disken 'not initialized'.

Men all praktisk partisjonsinformasjon befinner seg i GPT-tabellen. MBR brukes nå bare for å markere at hele disken er okkupert av GPT og dennes partisjoner. Kvaliteten på bootfirmwaren har også mye å si.

Skrevet
Ximalas skrev (2 timer siden):

MBR brukes nå bare for å markere at hele disken er okkupert av GPT og dennes partisjoner.

Det er ikke det spesifikasjonen sier. Signaturen er påkrevet.
Er det så vanskelig å bare si "Jeg tok feil"? 
Sist var det "MBR brukes ikke i det hele tatt med UEFI og GPT. LBA 0 er irrelevant". 
Topic for diskusjonen er hva som skjer når MBR overskrives. Du har konskvent påstått at det betyr ingenting når disken er GPT. Feil hele veien.

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...