Normalmente, no. No en un área de auto arranque. Es posible que tenga datos no sobrescritos por el borrado del disco, en áreas "fuera de banda", pero esas áreas normalmente no son accesibles, y si se hacen así, también se puede acceder al borrado.
Teóricamente, para valores de muy grandes de teóricamente, sí . En algunos discos duros, puede haber una tercera área de memoria que sea accesible, con arranque automático y capaz de albergar un malware complejo (tan complejo como, digamos, un kernel de Linux mínimo ).
( Actualización : el truco anterior )
ha informado de que Ciber-espionaje "> se encuentra en estado salvaje.
Normalmente no se accede a esta área (para la programación) a través del cable de datos mediante el cual se conecta el disco duro a la computadora host, sino a través de un conector JTAG especializado que solo se usa durante el proceso de fabricación.
Además, las instrucciones de programación deben adaptarse específicamente al chip de la CPU del controlador del disco duro; así como el mismo protocolo HTTP puede ser "hablado" por un Mac antiguo con tecnología Motorola o Intel 80386, pero las dos CPU nunca "hablarán" el mismo idioma, así que dos discos del mismo fabricante pueden tener un chip Avago , o Marvell one - y requerirán instrucciones diferentes y totalmente incompatibles.
El problema entonces es que el malware debería ser dirigido específicamente , y en la mayoría de los casos, si no en todos, se requerirá acceso físico al conector JTAG mediante un cable personalizado. Por lo tanto, un malware puramente de software no tendría ninguna posibilidad . A menos que el fabricante haya quemado alguna programación de puerta trasera en el firmware, para ahorrar algo de dinero y prescindir de todo el material de JTAG. Lo que, como era de esperar, parece haber sido el caso .
Un disco así pirateado es completamente indigno de confianza . Lo que haga al disco duro desde el cable SATA en realidad no es más que una solicitud cortés al SoC del disco para realizar alguna acción en su nombre. Los SoC no controlados obedecerán (o le mentirán a usted sobre su su ventaja: por ejemplo, informar que un sector se ha escrito al instante, mientras que en realidad se guarda en un caché de escritura para aumentar el rendimiento). Un SoC manipulado podría desobedecer y mentir sobre eso (y lo hará, o no tendría sentido manipularlo).
Usted podría (pedirle) que sobrescriba el cargador de arranque, que lo lea nuevamente y reciba una confirmación entusiasta de que se ha puesto a cero; (pida) escriba un cargador de arranque limpio en su lugar, vuelva a leerlo y reciba una confirmación arrogante de que se ha escrito y confirmado . Luego, el ciclo de alimentación ... y todavía tiene un cargador de arranque malicioso saliendo del disco en lugar del que usted creía que debería haber estado allí, por lo tanto, bluepilling el sistema.
Por supuesto, el malware debe estar al tanto del sistema operativo en uso para infectarlo y obtener, a través de él, un acceso más sofisticado a los archivos, la red, el teclado, etc. Lo haría al interceptar los intentos del sistema operativo de cargar su propio código desde el disco, proporcionando en su lugar código modificado que contiene las rutinas de infección. El código modificado tendría que ser compatible con el sistema operativo, y sería impotente si el sistema operativo verificara su propio código, a menos que se usaran técnicas más avanzadas.
La probabilidad real está en los niveles bajos para cualquier escenario razonablemente común.
Por otro lado ... si acaba de recibir un escritorio nuevo como muestra del aprecio de NSA por su trabajo, entonces no: borrando el disco, reduciendo a cero su HPA y DCO y Gutmann-blasting cada sector que tiene, no será suficiente .