Как получить содержимое MBR

Тема в разделе "Рекомендации и инструкции", создана пользователем Severnyj, 15 сен 2012.

Метки:
Статус темы:
Закрыта.
  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Что такое MBR?

    Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.

    MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.

    Функция MBR — «переход» в тот раздел жёсткого диска, с которого следует исполнять «дальнейший код» (обычно — загружать ОС). На «стадии MBR» происходит выбор раздела диска, загрузка кода ОС происходит на более поздних этапах алгоритма.

    В процессе запуска компьютера, после окончания начального теста (Power-on self-test — POST), Базовая система ввода-вывода (BIOS) загружает «код MBR» в оперативную память и передаёт управление находящемуся в MBR загрузочному коду.


    Зачем необходимо делать дамп MBR?

    Дамп MBR необходимо делать при заражении системы различными видами троянов-вымогателей класса MBR.Locker или загрузочных руткитов (буткитов) для отправки хелперам или вирусным аналитикам для исследования и получения методов лечения.


    Способы получения дампа MBR.

    Данная статья не претендует на полноту и не содержит всеобъемлющий список способов получения дампов MBR. Рассмотренные здесь способы не требуют углубленных знаний по использованию различных утилит, командам консоли и проч.

    Так как использование компьютера при заражении системы троянами класса MBR.Locker невозможно по причине блокирования загрузки системы на начальном уровне, копировать загрузочную область мы будем с помощью LiveCD. LiveCD могут базироваться на основе ОС Windows (Windows PE 2.0, Windows PE 3.0, BartPE), так и на основе Linux - таких абсолютное большинство от полных Live версий известных сборок, например Ubuntu, Fedora и проч, до специализированных мини-сборок таких, как диски восстановления от производителей антивирусов и специальные сборки для восстановления данных и работы с разделами жестких дисков.

    Мы рассмотрим способы получения дампа с использованием Windows PE и Linux-based LiveCD от Лаборатории Касперского - Kaspersky Rescue Disk. Повторять все описанные действия и способы нет необходимости, выберите способ, который наиболее подходит для Вас. Итак приступим:


    Получение дампа MBR с использованием LiveCD на основе Windows PE.

    Для этого способа потребуется диск с записанным на него образом Windows PE, скачанным с интернета или созданным по этой инструкции (также можно собрать свой LiveCD с помощью конструкторов BartPE builder или UBCD4Win, для создания которых потребуется диск с дистрибутивом Windows XP). Пользователи Windows Vista / Seven также могут воспользоваться средой восстановления Windows RE, находящейся на установочном диске данных ОС (среда восстановления предустановленная на скрытых разделах жесткого диска, для нашей цели не подходит, так как доступ к ней будет заблокирован). Так же потребуется флеш-накопитель с записанной на него одной из утилит, которая и будет использоваться для копирования MBR в файл. Следует ответить, что при использовании загрузочных дисков на основе BartPE, флеш-накопитель следует подключить к компьютеру до начала загрузки (при использовании среды восстановления и загрузочных дисков Windows PE 2.0 / 3.0 флеш-накопитель подключать можно в любой момент времени).

    !!! Внимание. Скачивание утилит и запись образов на CD необходимо производить на заведомо чистых системах.


    ____________________________________________________________


    Получение дампа MBR с помощью утилиты get_mbr by thyrex

    1. Скачайте утилиту get_mbr и сохраните ее на своем флеш-накопителе.
    2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
    3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
    4. По окончанию загрузки загрузки запустите утилиту get_mbr.exe
    5. Нажмите кнопку Start

      get_mbr by thyrex​.jpg

    6. После появления в окне программы надписи MBR was successfully saved in file c:\date_time.dta, где date_time - текущие дата и время, найдите в корне диска C:\ полученный файл.

      get_mbr by thyrex​2.png

    7. Данный файл скопируйте на флеш-накопитель, перенесите на незараженную систему, запакуйте в архив с паролем virus
    8. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

    !!! Внимание. Данный способ не сработает, если повреждена таблица разделов.

    !!! Внимание. Некоторые антивирусы могут находить злонамеренный код в файле get_mbr.exe - это ложное срабатывание.


    ____________________________________________________________


    Получение дампа MBR с помощью утилиты TDSSKiller

    1. Скачайте утилиту TDSSKiller и сохраните ее на своем флеш-накопителе.
      Если Вы скачали TDSSKiller в архиве, необходимо извлечь файл из архива с помощью любого архиватора
    2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
    3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
    4. По окончанию загрузки загрузки запустите командную строку.
    5. Введите в окне командной строки следующую команду:

      cmd.png

    6. Нажмите кнопку Enter
    7. По окончанию работы утилиты в корне флеш-накопителя будет создана папка log
    8. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
    9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.


    ____________________________________________________________


    Получение дампа MBR с помощью утилиты BOOTICE

    1. Скачайте утилиту BOOTICE и сохраните ее на своем флеш-накопителе.
    2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
    3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
    4. По окончанию загрузки загрузки запустите утилиту BOOTICE.exe
    5. В списке Destination Disk выберите Ваш системный диск и нажмите кнопку Process MBR

      BOOTICE1.jpg

    6. В появившемся окне нажмите кнопку Backup MBR

      BOOTICE2.jpg

    7. Сохраните MBR в файл с именем mbr.bin на флеш-накопителе
    8. Данный файл перенесите на незараженную систему, запакуйте в архив с паролем virus
    9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.


    Получение дампа MBR с использованием Kaspersky Rescue Disk.

    1. Скачайте образ Kaspersky Rescue Disk и запишите его на CD или USB.
    2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
    3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
    4. По окончанию загрузки и монтирования дисков из Меню запуска приложений запустите Терминал

      KRD.jpg

    5. В консоли терминала введите команду:

      Код (Text):
      windowsunlocker
      windowsunlocker1.png

    6. Намите кнопку Enter
    7. На приглашение командной строки введите 2 для сохранения копий загрузочных дисков и нажмите кнопку Enter

      windowsunlocker2.jpg

    8. На экране отобразится путь к созданным файлам (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/)
    9. Запустите Диспетчер файлов щелчком по иконке на рабочем столе.

      windowsunlocker3.jpg

    10. Скопируйте содержимое каталога /var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/ на флеш-накопитель.

      windowsunlocker4.jpg

    11. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
    12. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

    Подробнее о работе с утилитой Kaspersky WindowsUnlocker читайте на этой странице официального сайта
     
    Phoenix, Dragokas, Alex1983 и 13 другим нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей