Hier ist ein seltenes Beispiel für eine Situation, wo ich war eigentlich ganz in der Nähe eine Neuformatierung zu betrachten, bevor sie schließlich über eine Idee zu stolpern, die zu ihrer Auflösung führte.

Der Kunde war ein Mitarbeiter eines großen Unternehmens, dessen Laptop-Festplatten (wie viele) sind verschlüsselt mit McAfee Safeboot (Endpoint Encryption). Dies ist eine große Strategie für den Schutz vor Datendiebstahl im Falle, dass die Maschine gestohlen wird, aber wie alle Datenverschlüsselung, jede Art von Problem, mit Hinblick auf die beiden Datenintegrität oder die Verschlüsselung / Entschlüsselung Prozess kann potenziell verheerend sein.

Da SafeBoot® / EE ein Bootsektor-Verschlüsselung ( "Pre-Boot-Authentifizierung" es heißt), die auf das gesamte Speichervolumen gilt, sind alle eventuellen Probleme auf seine Boot-Partition Informationen vollständig, das gesamte System zu brechen, bis entweder die Daten repariert oder das Volumen manuell entschlüsselt. Glücklicherweise bietet McAfee eine Methode für Datenträger offline mit einem speziellen Boot-CD (genannt SafeTech / WinTech, je nach Version) und eine rollierende Autorisierungscode zu entschlüsseln, die täglich ändert. Leider machen sie nur diese Werkzeuge direkt an Kunden zur Verfügung ... was bedeutet, dass wir unabhängige Techs kein Glück sind, auch wenn wir den Entschlüsselungsschlüssel (was der Kunde hat mir) haben.

Während ich in der Lage war, den Roll Authentication Code zu umgehen, indem das System der Zeitpunkt zu einem bestimmten Tag Jahren Einstellung zurück und mit einem Code, den ich in einem Online-Forum gepostet gefunden, die integrierten Tools und sogar ein sich SafeBoot® Admin CD I waren nicht hilfreich in das Problem zu lösen. Wir hatten bereits versucht, die IT-Abteilung in Verbindung treten, die sagt, dass sie zur Verfügung keine solchen Tools und dass eine Neuformatierung erforderlich wäre. Schlimmer noch, war nur mein Kunde auf einer kurzen Geschäftsreise in Louisville, und es gab Daten, die sie auf dem verschlüsselten Volume benötigt.

Am nächsten Morgen hatte ich geplant, um den Kunden zu kontaktieren und vorschlagen, dass wir genau das tun: umformatieren. Aber auf einer Last-Minute-Laune, stolperte ich über eine Idee, die vielleicht das seltsame Verhalten erklären könnten wir erleben.

Wenn Sie den Safeboot 92h Fehler Google finden Sie eine Vielzahl von Gründen, warum es dazu kommen kann, und viele Situationen, in denen es wurde nie richtig gelöst. Reverse-Engineering, die Situation in meinem Kopf, aber führte mich zu einem wichtigen Punkt, den ich fast in der Mitte von meinem Wunsch, außer Acht gelassen hatte, um schnell die Situation zu lösen und einen Arbeits PC zu meinem vollen Reisen Exekutive zurück: die Möglichkeit, dass Malware ausgelöst hatte das Problem zu beginnen.

Sie sehen, der erste Schritt, den ich durchgeführt ein Laufwerk Bild der verschlüsselten Daten für die Sicherheit war. Und ich hatte bemerkt, dass, im Laufe des Abbildungsprozesses keine Lesefehler / fehlerhafte Sektoren angetroffen worden war. Für Sicherheit, führte ich sogar eine Hardware-Diagnose anschließend, und kein Speicher oder Festplattenfehler gefunden. Dies bedeutet, dass die Verschlüsselung wahrscheinlich aufgrund eines Hardware-Problem nicht gescheitert war, und dass stattdessen war eine Art von Software wahrscheinlich schuld. Malware ist die perfekte Täter hier; vor allem, Bootsektor Rootkits, die speziell den MBR und / oder Partitionsinformationen von einer Maschine mit einem Filtermechanismus für die Malware des Opfers ändern bereitzustellen, wo es auch völlig nicht nachweisbar ist.

Ein solches Rootkit hast du mich schon in der Vergangenheit schreiben gesehen: Rootkit.Boot.Pihar.B. Es schafft eine versteckte, verschlüsselte Partition am Ende einer Antriebs und legt sie als die aktiven Hauptpartition, wonach sie die Betriebssystempartition chainloads (die als inaktiv vom rootkit eingestellt ist). Dies ermöglicht effektiv das Rootkit den MBR "sauber" zu verlassen, um den gesamten Code in seiner verschlüsselten Partition zu speichern und dann das Betriebssystem normalerweise danach geladen werden. Während dieses Rootkit derzeit nicht als aktiv auf meinem Client-System (mit einem offline TDSSKiller Lauf) erkannt wird, nachdem er auf eine Partitions-Management-Software starten, fand ich, dass die versteckte / verschlüsselte Partition vorhanden war. Und die OS-Partition, wie vorherzusehen war inaktiv.

Es war nur so einfach. Einstellen der OS-Partition als aktiv und dann tat das Booten normalerweise den Trick. Im Anschluss daran hatte ich viel Malware Bereinigung auf meine Hände, die meisten davon an einen Schelm bezogen, die auf dem Rootkit huckepack hatte. Das war eine Menge Spaß, da die Politik und Administrator Einschränkungen der Maschine im Wege stand, aber am Ende wurde die Maschine repariert wurde alle Daten wiederhergestellt, und mein Mandant war glücklich. Das heißt, bis er in seine Heimatstadt zurückkehrt, wo er dann einen aktualisierten Windows-7-Maschine werden anfordern diesen Dinosaurier zu ersetzen.