Hice sudo dd if=/dev/zero of=/dev/sda¿dónde /dev/sdaestá mi disco flash? /dev/sdafue todo ceros después de esto. Luego creé una tabla de particiones con GParted en el disco flash. No hice otros cambios. Ahora este es el resultado de sudo dd if=/dev/sda bs=512 count=1|hexdump -C:
00000000 fa b8 00 10 8e d0 bc 00 b0 b8 00 00 8e d8 8e c0 |................| 00000010 fb be 00 7c bf 00 06 b9 00 02 f3 a4 ea 21 06 00 |...|.........!..| 00000020 00 be be 07 38 04 75 0b 83 c6 10 81 fe fe 07 75 |....8.u.......u| 00000030 f3 eb 16 b4 02 b0 01 bb 00 7c b2 80 8a 74 01 8b |.........|...t..| 00000040 4c 02 cd 13 ea 00 7c 00 00 eb fe 00 00 00 00 00 |L.....|.........| 00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| * 000001b0 00 00 00 00 00 00 00 00 fd 5c ba 4c 00 00 00 00 |.........\.L....| 000001c0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| * 000001f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 aa |................U.| 1+0 registros en 1+0 registros eliminados 512 bytes (512 B) copiados, 0,00183447 s, 279 kB/s 00000200
Lo intenté dos veces. Mi pregunta es por qué sucedió esto. Según tengo entendido, la tabla de particiones comienza después del byte 446 y no hay ninguna razón para que la 55 aafirma esté allí.
¿Qué podría ser sino malware?
Respuesta1
GParted siempre escribe la firma 55AA en el MBR incluso si no es estrictamente necesaria. (Como ya mencionó, solo es necesario para un MBR DE ARRANQUE).
La razón radica en razones de compatibilidad histórica.
Algunos sistemas con código de procesamiento MBR mal implementado consideran rotundamente que un MBR no es válido si no tiene la firma.
Para evitar este problema, GParted (y la mayoría de los demás programas que pueden crear un MBR) colocará un código de cargador de arranque seguro/ficticio en el MBR y le asignará la firma "Disco de arranque".