Как получить содержимое MBR

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,400
Реакции
5,375
Что такое MBR?

Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.

MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.

Функция MBR — «переход» в тот раздел жёсткого диска, с которого следует исполнять «дальнейший код» (обычно — загружать ОС). На «стадии MBR» происходит выбор раздела диска, загрузка кода ОС происходит на более поздних этапах алгоритма.

В процессе запуска компьютера, после окончания начального теста (Power-on self-test — POST), Базовая система ввода-вывода (BIOS) загружает «код MBR» в оперативную память и передаёт управление находящемуся в MBR загрузочному коду.


Зачем необходимо делать дамп MBR?

Дамп MBR необходимо делать при заражении системы различными видами троянов-вымогателей класса MBR.Locker или загрузочных руткитов (буткитов) для отправки хелперам или вирусным аналитикам для исследования и получения методов лечения.


Способы получения дампа MBR.

Данная статья не претендует на полноту и не содержит всеобъемлющий список способов получения дампов MBR. Рассмотренные здесь способы не требуют углубленных знаний по использованию различных утилит, командам консоли и проч.

Так как использование компьютера при заражении системы троянами класса MBR.Locker невозможно по причине блокирования загрузки системы на начальном уровне, копировать загрузочную область мы будем с помощью LiveCD. LiveCD могут базироваться на основе ОС Windows (Windows PE 2.0, Windows PE 3.0, BartPE), так и на основе Linux - таких абсолютное большинство от полных Live версий известных сборок, например Ubuntu, Fedora и проч, до специализированных мини-сборок таких, как диски восстановления от производителей антивирусов и специальные сборки для восстановления данных и работы с разделами жестких дисков.

Мы рассмотрим способы получения дампа с использованием Windows PE и Linux-based LiveCD от Лаборатории Касперского - Kaspersky Rescue Disk. Повторять все описанные действия и способы нет необходимости, выберите способ, который наиболее подходит для Вас. Итак приступим:


Получение дампа MBR с использованием LiveCD на основе Windows PE.

Для этого способа потребуется диск с записанным на него образом Windows PE, скачанным с интернета или созданным по этой инструкции (также можно собрать свой LiveCD с помощью конструкторов Win10XPE или UBCD4Win, для создания которых потребуется диск с дистрибутивом Windows XP). Пользователи Windows Vista / Seven также могут воспользоваться средой восстановления Windows RE, находящейся на установочном диске данных ОС (среда восстановления предустановленная на скрытых разделах жесткого диска, для нашей цели не подходит, так как доступ к ней будет заблокирован). Так же потребуется флеш-накопитель с записанной на него одной из утилит, которая и будет использоваться для копирования MBR в файл. Следует ответить, что при использовании загрузочных дисков на основе BartPE, флеш-накопитель следует подключить к компьютеру до начала загрузки (при использовании среды восстановления и загрузочных дисков Windows PE 2.0 / 3.0 флеш-накопитель подключать можно в любой момент времени).

!!! Внимание. Скачивание утилит и запись образов на DVD необходимо производить на заведомо чистых системах.


____________________________________________________________


Получение дампа MBR с помощью утилиты TDSSKiller

  1. Скачайте утилиту TDSSKiller и сохраните ее на своем флеш-накопителе.
    Если Вы скачали TDSSKiller в архиве, необходимо извлечь файл из архива с помощью любого архиватора
  2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
  3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
  4. По окончанию загрузки загрузки запустите командную строку.
  5. Введите в окне командной строки следующую команду:

    буква флешки:\tdsskiller.exe -qpath буква флешки:\log -qmbr

    cmd.png

  6. Нажмите кнопку Enter
  7. По окончанию работы утилиты в корне флеш-накопителя будет создана папка log
  8. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
  9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.


____________________________________________________________


Получение дампа MBR с помощью утилиты BOOTICE

  1. Скачайте утилиту BOOTICE и сохраните ее на своем флеш-накопителе.
  2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
  3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
  4. По окончанию загрузки загрузки запустите утилиту BOOTICE.exe
  5. В списке Destination Disk выберите Ваш системный диск и нажмите кнопку Process MBR

    BOOTICE1.jpg

  6. В появившемся окне нажмите кнопку Backup MBR

    BOOTICE2.jpg

  7. Сохраните MBR в файл с именем mbr.bin на флеш-накопителе
  8. Данный файл перенесите на незараженную систему, запакуйте в архив с паролем virus
  9. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.


Получение дампа MBR с использованием Kaspersky Rescue Disk.

  1. Скачайте образ Kaspersky Rescue Disk и запишите его на CD или USB.
  2. Выставьте в BIOS зараженного компьютера загрузку с CD / DVD.
  3. Подключите флешку к зараженному компьютеру и загрузитесь с записанного диска.
  4. По окончанию загрузки и монтирования дисков из Меню запуска приложений запустите Терминал

    KRD.jpg

  5. В консоли терминала введите команду:

    Код:
    windowsunlocker

    windowsunlocker1.png

  6. Намите кнопку Enter
  7. На приглашение командной строки введите 2 для сохранения копий загрузочных дисков и нажмите кнопку Enter

    windowsunlocker2.jpg

  8. На экране отобразится путь к созданным файлам (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/)
  9. Запустите Диспетчер файлов щелчком по иконке на рабочем столе.

    windowsunlocker3.jpg

  10. Скопируйте содержимое каталога /var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/ на флеш-накопитель.

    windowsunlocker4.jpg

  11. Данную папку перенесите на незараженную систему, запакуйте в архив с паролем virus
  12. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

Подробнее о работе с утилитой Kaspersky WindowsUnlocker читайте на этой странице официального сайта
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу