Как получить содержимое MBR

[Severnyj]

Что такое MBR?​

Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.

MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.

Функция MBR — «переход» в тот раздел жёсткого диска, с которого следует исполнять «дальнейший код» (обычно — загружать ОС). На «стадии MBR» происходит выбор раздела диска, загрузка кода ОС происходит на более поздних этапах алгоритма.

В процессе запуска компьютера, после окончания начального теста (Power-on self-test — POST), Базовая система ввода-вывода (BIOS) загружает «код MBR» в оперативную память и передаёт управление находящемуся в MBR загрузочному коду.

Источник​

Зачем необходимо делать дамп MBR?​

Дамп MBR необходимо делать при заражении системы различными видами троянов-вымогателей класса MBR.Locker или загрузочных руткитов (буткитов) для отправки хелперам или вирусным аналитикам для исследования и получения методов лечения.

Способы получения дампа MBR.​

Данная статья не претендует на полноту и не содержит всеобъемлющий список способов получения дампов MBR. Рассмотренные здесь способы не требуют углубленных знаний по использованию различных утилит, командам консоли и проч.

Так как использование компьютера при заражении системы троянами класса MBR.Locker невозможно по причине блокирования загрузки системы на начальном уровне, копировать загрузочную область мы будем с помощью LiveCD. LiveCD могут базироваться на основе ОС Windows (Windows PE 2.0, Windows PE 3.0, BartPE), так и на основе Linux - таких абсолютное большинство от полных Live версий известных сборок, например Ubuntu, Fedora и проч, до специализированных мини-сборок таких, как диски восстановления от производителей антивирусов и специальные сборки для восстановления данных и работы с разделами жестких дисков.

Мы рассмотрим способы получения дампа с использованием Windows PE и Linux-based LiveCD от Лаборатории Касперского - Kaspersky Rescue Disk. Повторять все описанные действия и способы нет необходимости, выберите способ, который наиболее подходит для Вас. Итак приступим:

Получение дампа MBR с использованием LiveCD на основе Windows PE.​

Для этого способа потребуется диск с записанным на него образом Windows PE, скачанным с интернета или созданным по этой инструкции (также можно собрать свой LiveCD с помощью конструкторов Win10XPE или UBCD4Win, для создания которых потребуется диск с дистрибутивом Windows XP). Пользователи Windows Vista / Seven также могут воспользоваться средой восстановления Windows RE, находящейся на установочном диске данных ОС (среда восстановления предустановленная на скрытых разделах жесткого диска, для нашей цели не подходит, так как доступ к ней будет заблокирован). Так же потребуется флеш-накопитель с записанной на него одной из утилит, которая и будет использоваться для копирования MBR в файл. Следует ответить, что при использовании загрузочных дисков на основе BartPE, флеш-накопитель следует подключить к компьютеру до начала загрузки (при использовании среды восстановления и загрузочных дисков Windows PE 2.0 / 3.0 флеш-накопитель подключать можно в любой момент времени).

!!! Внимание. Скачивание утилит и запись образов на DVD необходимо производить на заведомо чистых системах.


____________________________________________________________

Получение дампа MBR с помощью утилиты TDSSKiller​

1. Скачайте утилиту TDSSKiller и сохраните ее на своем флеш-накопителе.
   
   Если Вы скачали TDSSKiller в архиве, необходимо извлечь файл из архива с помощью любого архиватора​
2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
4. По окончанию загрузки загрузки запустите командную строку.
5. Введите в окне командной строки следующую команду:
   
   

   буква флешки:\tdsskiller.exe -qpath буква флешки:\log -qmbr

   
   
   
   
   
6. Нажмите кнопку Enter
7. По окончанию работы утилиты в корне флеш-накопителя будет создана папка log
8. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

____________________________________________________________

Получение дампа MBR с помощью утилиты BOOTICE​

1. Скачайте утилиту BOOTICE и сохраните ее на своем флеш-накопителе.
2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
4. По окончанию загрузки загрузки запустите утилиту BOOTICE.exe
5. В списке Destination Disk выберите Ваш системный диск и нажмите кнопку Process MBR
   
   
   
   
   
6. В появившемся окне нажмите кнопку Backup MBR
   
   
   
   
   
7. Сохраните MBR в файл с именем mbr.bin на флеш-накопителе
8. Данный файл перенесите на незараженную систему, запакуйте в архив с паролем virus
9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

Получение дампа MBR с использованием Kaspersky Rescue Disk.​

1. Скачайте образ Kaspersky Rescue Disk и запишите его на CD или USB.
2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
4. По окончанию загрузки и монтирования дисков из Меню запуска приложений запустите Терминал
   
   
   
   
   
5. В консоли терминала введите команду:
   
   

   windowsunlocker

   
   
   
   
   
6. Намите кнопку Enter
7. На приглашение командной строки введите 2 для сохранения копий загрузочных дисков и нажмите кнопку Enter
   
   
   
   
   
8. На экране отобразится путь к созданным файлам (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/)
9. Запустите Диспетчер файлов щелчком по иконке на рабочем столе.
   
   
   
   
   
10. Скопируйте содержимое каталога /var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/ на флеш-накопитель.
    
    
    
    
    
11. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
12. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

Подробнее о работе с утилитой Kaspersky WindowsUnlocker читайте на этой странице официального сайта