如何删除MBR Rootkit/bootkits？

Question

如何将它们从内部硬盘驱动器和USB卡中移除？他们也能感染MicroSD卡或者其他什么吗？DVD？cd？

听说可以通过格式化的方式使用一张现场CD。什么是最好的方法？

Answer 1

我发现这一点，下面的Linux终端窗口中的命令将清除mbr

sudo，if=/dev/零of=/dev/sda bs=512 count=1，这将擦除硬盘驱动器/dev/sda的第一个扇区(512字节)。确保这是正确的驱动器擦除！因此，保持外部备份驱动器断开，以避免任何错误。

要删除位于第1 MiB的驱动器(前)第一个分区之前的任何内容，您可以删除2048个扇区:这是一个病毒使用该区域存储任何信息的情况。

sudo dd if=/dev/零of=/dev/sda bs=512 count=2048

因此，只有第二个命令是必要的。

删除mbr的唯一GUI方法是创建一个新的分区表。这只会影响主引导扇区。然而，由于有这样的病毒历史，更安全的是清理更多，而不仅仅是mbr。

仍然没有删除卷启动记录，这也可以被感染。

Answer 2

考虑使用一个可以清除MBR的工具，比如开机修复盘。确保清除MBR，而不是修复它，因为通常您无法知道恶意软件是否会通过修复而被删除。

我想这是公平的假设，如果你有一个可写的MBR，它可能被感染。因此，是的，攻击者可以感染MicroSD卡。DVD/CD (光驱)功能不同(参见UDF和ISO 9660)，它们不使用MBR。

对于Live的创建，最好使用专用软件，因为它处理不同的变体，无论是硬件/固件或配置，如OS或分区。

因此，如果您需要确保您已经删除了驱动器上的任何可能的恶意软件：

1. 创建一个干净的MBR，实际上是重做驱动器的分区。
2. 格式化您的新分区(S)。

这两个步骤都是必要的，因为这是两个逻辑上不同的步骤，通常执行其中一个步骤不会影响另一个步骤。

Answer 3

您所需要做的就是启动一个LiveCD或或任何您喜欢的操作系统，并格式化USB和HDD，这将解决典型的rootkit。

Rootkit只是为了隐藏特定的恶意软件，但它可以感染任何形式的媒体，如MicroSD，USB，CD，DVD，BIOS等等。通过重写路由器上的固件，可以使路由器变得更加复杂。当然，非常罕见，必须为这个特别版本的路由器编程。BIOS也是另一种罕见的rootkit。

一些好的阅读文章给你：

坏通用串行总线

不好的USB解决方案

Rootkit