Sospecho que mi HDD y SSD pueden estar infectados. ¿Es posible tomar una imagen del firmware? ¿Cómo hago para hacerlo?
Sospecho que mi HDD y SSD pueden estar infectados. ¿Es posible tomar una imagen del firmware? ¿Cómo hago para hacerlo?
Hay un estándar para escribir firmware, el comando ATA DOWNLOAD_MICROCODE
y la versión segmentada (protocolo de transferencia 3), pero no hay un estándar para leer el firmware nuevamente. Como dice otra respuesta, algunos fabricantes pueden agregar sus propias técnicas específicas del proveedor para hacerlo.
Hay otra forma confiable de acceder al firmware, pero no se puede hacer desde el software. Al abrir la unidad para ver el controlador se expondrá el chip de firmware (flash o EEPROM) que se puede leer directamente usando un hardware especializado diseñado para interactuar con el chip, como un lector SPI. A veces, el chip del controlador tiene un flash interno, lo que significa que no hay un chip externo para leer, lo que significaría que conectar una sonda JTAG al chip es la solución más probable para obtener el firmware.
Hay dos recursos excelentes que muestran lo que se necesita para leer el firmware para que pueda modificarse y reemplazarse, lo que yo sé. Específicamente, una escritura incompleta (?) En los rootkits MBR basados en firmware de HDD de Malwaretech y el puerto clásico de Linux a un disco duro por SpritesMods . A continuación se muestra una imagen del último que muestra el chip flash con el que necesitaría interactuar directamente para leer.
No hay herramientas disponibles para leer / volcar un firmware SSD (excepto en algunos casos específicos). Cada fabricante implementa su hardware y firmware como ellos quieran. Esto significa que no hay un protocolo estándar para volcar un firmware SSD.
La única forma en que obtenemos una herramienta para volcar el firmware de un proveedor específico es si lo lanzan, o si alguien hace una ingeniería inversa. La ingeniería inversa de un volcado de firmware puede ser difícil y no se aplica necesariamente a todas las unidades de un fabricante, ya que podrían cambiar los conjuntos de chips o los protocolos para la interacción del firmware en nuevos modelos en cualquier momento.
Lea otras preguntas en las etiquetas ssd firmware disk-image