πͺ SOP β The Safe Exorcist
HPA Unlock βΊ DCO Reset βΊ MBR Wipe βΊ Zero-Fill Total
PERINGATAN KRITIS Dokumen ini berisi prosedur destruktif permanen. Salah memilih drive = kehilangan data selamanya. Baca seluruh SOP sebelum eksekusi. Jangan jalankan di drive OS utama.
βοΈ Prasyarat & Persiapan
| Item | Detail |
|---|---|
| OS | SystemRescue Live USB (boot terpisah, bukan dari disk target) |
| Tools wajib | hdparm dd lsblk blockdev |
| Koneksi drive | USB-to-SATA adapter β JANGAN colok langsung ke SATA motherboard |
Rocky Linux? Jalankan dulu:
sudo dnf install hdparm util-linux coreutilsPastikan boot dari Live USB, bukan dari installed OS.
Fase 1 β Identifikasi Target & Status
1.1 Tampilkan semua drive fisik
ROTA=1 β HDD | ROTA=0 β SSD/NVMe
lsblk -d -o NAME,SIZE,MODEL,ROTA1.2 Pastikan drive target tidak ter-mount
umount /dev/sdX* 2>/dev/nullMount = Bahaya Jika drive masih ter-mount dan kamu jalankan
ddβ korupsi bisa menyebar ke disk lain yang terpasang bersamaan.
Fase 2 β Reset DCO (Device Configuration Overlay)
Kenapa DCO Dulu? DCO duduk di bawah HPA. Jika DCO tidak direset dulu, perintah unlock HPA bisa gagal total atau tidak persistent setelah power cycle.
2.1 Cek apakah ada DCO yang dimanipulasi
hdparm --dco-identify /dev/sdX2.2 Reset DCO ke bawaan pabrik
hdparm --dco-restore /dev/sdX2.3 Paksa kernel baca ulang geometri
blockdev --rereadpt /dev/sdXFase 3 β Interogasi & Buka Kunci HPA
3.1 Cek status HPA
hdparm -N /dev/sdXContoh output:
max sectors = 900000/976773168, HPA is enabled
^^^^^^^^/^^^^^^^^^
current native_max β AMBIL ANGKA INI
Catat angka Native Max = angka kedua setelah tanda
/Contoh di atas:976773168
3.2 Buka gembok HPA secara paksa
Tambahkan huruf p di depan angka Native Max:
hdparm -N p976773168 /dev/sdX
# ^
# p = persistent (survive power cycle)3.3 Paksa kernel baca ulang kapasitas baru
blockdev --rereadpt /dev/sdX3.4 Konfirmasi HPA sudah terbuka
hdparm -N /dev/sdX
# β
Sukses = kedua angka sama + output: "HPA is disabled"HPA Terbuka Jika output berbunyi
HPA is disableddan kedua angka identik β seluruh kapasitas fisik disk kini terekspos dan siap di-zero-fill.
Fase 4 β Eksekusi Kematian (Zero-Fill Total)
POINT OF NO RETURN Setelah perintah ini dieksekusi, tidak ada yang bisa diselamatkan. Semua partisi, data, HPA, DCO, MBR, Bootkit, Rootkit, dan virus akan terhapus sempurna.
4.1 Konfirmasi nama drive sekali lagi
lsblk -d -o NAME,SIZE,MODEL,SERIAL /dev/sdX4.2 Eksekusi Zero-Fill
dd if=/dev/zero of=/dev/sdX bs=4M conv=noerror,sync status=progress| Parameter | Fungsi |
|---|---|
bs=4M | Chunk besar β kecepatan optimal |
conv=noerror | Lanjut meski ada bad sector (kritis untuk HDD rusak) |
conv=sync | Isi bad sector dengan nol, bukan dilewati |
status=progress | Tampilkan progress real-time |
Estimasi waktu:
| Drive | Ukuran | Estimasi |
|---|---|---|
| HDD | 250 GB | ~20β30 menit |
| HDD | 500 GB | ~40β60 menit |
| HDD | 1 TB | ~90β120 menit |
| SSD | 250 GB | ~5β15 menit |
β Hasil Setelah Zero-Fill Selesai
- MBR/Bootkit terhapus sempurna
- Area HPA ter-zero-fill (tidak bisa reload ulang)
- DCO dikembalikan ke kapasitas pabrik
- Semua partisi dan data hilang
- Drive bersih seperti baru dari pabrik
Drive kini siap dipartisi ulang dan diinstall OS baru.
πΊοΈ Peta Lokasi Si Parasit (Referensi)
[Sektor 0 β 512 byte]
β
βββ MBR ββββββββββββββββ Bootkit duduk di sini (Fase 3β4 bunuh ini)
β βββ Jump ke kode jahat di Unallocated Space dekat sektor 0
β
βββ Partisi C: (Windows) β Antivirus biasa hanya melihat di sini
βββ Partisi D: (Data)
βββ Unallocated Space β Tubuh utama rootkit bersembunyi
β
βββ [Sektor Terakhir β area tersembunyi]
β
βββ HPA βββββββββββββ Cadangan infeksi / OEM Recovery
βββ Berisi OEM recovery bersih = Teori A murni
βββ Berisi kode executable aneh = Teori A + B hybrid β οΈ
β‘ Quick Reference β Urutan Wajib
# [1] Isolasi fisik β USB adapter + Live USB terpisah
# [2] Identifikasi
lsblk -d -o NAME,SIZE,MODEL,ROTA
umount /dev/sdX* 2>/dev/null
# [3] DCO Reset (SEBELUM HPA!)
hdparm --dco-restore /dev/sdX
blockdev --rereadpt /dev/sdX
# [4] HPA Unlock
hdparm -N /dev/sdX # catat native_max
hdparm -N p{native_max} /dev/sdX # buka paksa
blockdev --rereadpt /dev/sdX
# [5] Zero-Fill
dd if=/dev/zero of=/dev/sdX bs=4M conv=noerror,sync status=progressπ Lihat Juga
- [Script Exorcist](D:\Documents\Obsidian Vault\REPAIR\Exorcist.sh)
- Data Recovery β Recovery Level 0β7
- Endpoint Security β CPU Ring & Boot Chain
- Network Security β OSI Layer 1β8
The Safe Exorcist v2.0 β HPA/DCO/MBR Elimination Protocol