вернули IT технику, можно ли использовать дальше?

Вы меня неверно поняли. Вопрос стоит в том как ПЕРЕНЕСТИ данные с одного ноута на другой не перенеся заразу.  Скомпрометированный ноут оставил, будут на нем развлекуху гонять, но его все ровно надо почистить что бы зараза с него на другие машины не попала.
Есть реальная надобность проверять видеофайлы, звук файлы, txt, pdf, djvu, fb2?
Подробнее про загрузочные сектора, что за разделы UEFI и Legacy? Как их отключать и ставить один заместо другого? Какие программы для всего этого использовать?
Ноут перебирать буду обязательно. Как и перепрошивать биос.
Ставить туда линукс или Винду семерку мне непринципиально, на том ноуте будет только развлекуха.

--

Редактировался ЕУ (2017-05-02 03 ч.)

Одноразовый2, мил человек, ты в одной теме ищешь способ неявного общения, т.к. за кем-то из вас возможно ОД или ОТМ бегает. А в другом ноут собираешься оставить после прибывания у экспертов или хрен знает кого. Это тупость или смелость?

По теме - троян может быть:
- в загрузочных областях
- в файлах как системных, так и doc, rar и хрен знает что (даже картинках, но это точно не их уровень т.к. нужно соблюдение нескольких условий и рассматривать в серьез мы это не будем)
- аппаратный (начиная от флешки с специфичным котроллером, которую впаяли или вставили в внутренний usb вход)
- жучок (напаять рядом с микрофоном или камерой что-то свое и запитать от дорожки питания, которая всегда подключена к БП - плевое дело)

С учетом происхождения угрозы наиболее вероятно, по убыванию:
- простой кейлоггер в автозагрузке (если тупые, но не ленивые)
- жучок в виде впайки с питанием от БП. возможно даже в самом БП и передачей на короткое расстояние. ОТМ снимет сигнал с машины, чердака или соседней квартиры, если надо будет (это если сильно нужны и не жалко проебать номерное устройство и дергать смежников)
- заражение BIOS\UEFI (это уже скорее "К" и прочие спецслужбы)

По поводу копирования - чистое устройство, внешний карман для жесткого.
Загрузочный диск или флешка с любой *NIX.

Диск выдираем с ноута, подрубаем в карман. Чистый комп грузим с чистого носителя с Linux, MacOS, Whonix, KaliOS, QNX, OpenBSD, Plan9

Ничего в процессе копирования не подхватите иначе за вами следит АНБ и вам все равно конец

Для кастомных троянов антивирусы могут ничего и не показать.

Ноут вообще лучше отдать бабушке под рецепты и никогда рядом с ним не говорить о делах.

Это  желание, поднять свой уровень осведомленности на примере реальной ситуации.  Как тут плюсы ставить?  Заслужил однозначно, самый содержательный ответ.   
Вижу ты хорошо понимаешь в теме, подскажи, будь добр.
Телефоны у меня пока не изымали, и очень надеюсь что не будут. Мне интересно, как бы ты описал точно такую же ситуацию, но с андроид устройством? Где там что может быть впарено и как и за чем следить? Начиная от функций от производителя и заканчивая доработками умельцев. Как програмно так и аппаратно.

В мобилку могут точно так же поставить и программный кейлоггер, и софт для скрытой записи и что-нибудь допаять. Теоретически можно вприхнуть и эксплоит, но это уже к разведкам. Так как органы могут и так получить дамп звонков, смс и геопривязку от оператора. Максимум перепрошьют, чтобы координаты GPS скидывал оператору или на сервер.

Но при этом при изъятии мобильных с них снимут полный дамп памяти и вытрусят все вроде бы удаленные смс, логи вайберов\телеграммов и т.п. , если не предпринималиись специальные меры для шифрования и\или затирания памяти. Гуглить DoD 5220.22 +Android

Пример программного комплекса для анализа мобильных
клирнет://www.cellebrite.com/ru/Mobile-Forensics/Solutions/ufed-pro-series

Что ,можешь сказать по поводу удаленного включения микрофона и камеры. Какие события их должны запускать что бы было максимально актуально?

Насколько я знаю, чисто технически это возможно, но требует либо документации\рверсинга конкретной прошивки конкретной модели, либо заливки эксплоита под прошивку от оператора.

Теоретически такое может ФСБ, при условии что у объекта есть своя служба безопасности в т.ч. и техническая и дургие методы невозможны. В реальности, если настолько плотно захотят пасти, вам раньше всю квартиру и машину микрофонами обтыкают и будут даже в общественный туалет с вами ходить.

Поэтому всякие SilentBox для мобилок были фишкой крупного бизнеса. Т.к. у конкурентов как правило есть финансовый ресурс и специалисты, но нет возможности вас плотно вести целой группой.

Но к любой мобилке всегда лучше относится как к включенному микрофону на интервью. Интерс может быть разный и техника постоянно меняется.

Понял, спасибо большое, познавательно для меня. А как на счет включения камеры и микрофона. Они могут реагировать на звук (но тогда записей будет очень много, долго искать нужный участок). На гироскоп, на акселерометр, на команду од GPS (остановка в одной точке дольше какого то времени), другие события, в том числе и при использовании телефона? Как с этим дела обстоят?
И, есть ли специализированные форумы на эту тематику?

Проще показать, чем рассказать.

Источники по жучкам, они же специальные технические средства:
/sohabr.net/habr/post/244453/
/habrahabr.ru/company/neuronspace/blog/265457/
Книга
Практическое руководство по выявлению специальных технических средств несанкционированного получения информации
Геннадий Алексеевич Бузов

После ознакомления будет понятно какие они бывают, как выглядят, как устанавливаются.

Мобильные
/habrahabr.ru/company/securitycode/blog/280886/
/habrahabr.ru/company/neuronspace/blog/264235/

Статья Извлечение данных из дампов мобильных устройств, работающих под управлением операционной системы Android
/computer-forensics-lab.org/lib/%D0%91%D0%B8%D0%B1%D0%BB%D0%B8%D0%BE%D1%82%D0%B5%D0%BA%D0%B0/%D0%9A%D1%80%D0%B8%D0%BC%D0%B8%D0%BD%D0%B0%D0%BB%D0%B8%D1%81%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5_%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D1%81%D0%BE%D1%82%D0%BE%D0%B2%D1%8B%D1%85_%D1%82%D0%B5%D0%BB%D0%B5%D1%84%D0%BE%D0%BD%D0%BE%D0%B2/189/

О второй операционной системе в каждом мобильном телефоне
/www.ixbt.com/editorial/inoblogger/the-second-os-in-mobile.shtml
/www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone

Закладки от АНБ в материнских платах и сетевом оборудовании
/sites.google.com/site/pinczakko/nsa-bios-backdoor-a-k-a-god-mode-malware---part-1
/xakep.ru/2011/12/26/58104/

Форум по компьютерной приминалистике
computer-forensics-lab.org/forum/index.php

Для ознакомления думаю более чем достаточно.
Для всех форумчан, кому будет интересно - можно поставить плюс.

Дополню по прослушке
Приказ Минкомсвязи России «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий
/www.rossvyaz.ru/docs/pr_174-11.pdf

спасибо большое. Жаль плюсовать не могу пока что. Поставил бы.

разбирал ноут, напаек рядом со входами USB не обнаружил.
Они по шлейфу подключены к материнской плате. Я  правильно понимаю, что аппаратный троян может быть припаян и на самой материнской плате куда припаяны эти самые USB (туда пока не добрался)?
Могут ли припаять к DVD приводу подобное? Что оно будет выдавать себя за привод, и с него будет стартовать троян, а потом уже передавать управление на привод. ??
Нашел схемы материнских плат в инете на мой ноут. Разобрал, и.. моя вообще не такая. Не смог найти даже БИОС, в инете он микросхема с 4 ножками, у меня таких аж 3! Зато есть некая похожая на русскую К179УН1 , отсутствующая на инет схемах. Наверное это и есть биос, дорожки там все заводские, не напайка от ментов. 
Есть очень качественные отпечатки пальцев, видно что в ноуте шарили. Возможно это отпечатки человека, который мне биос перепрошивал, возможно смесь его и ментовских отпечатков. Это не заводские от сборки, они оставлены на тонком слое пыли, которой во время сборки и сразу после быть не должно.  Попрошу отпечатки у своего человека, сравню. Если не все будут его, значит ноут вскрывали и шарили.

Основательный подход.

Да, поэтому если уже начали проверять, нужно просмотреть дорожки от разъемов и до контроллера на предмет левой пайки.

Теоретически да, практически - само устройство получится гораздо сложнее и программно и аппартано, про такое не слышал.

Возможно банально искали возможный тайник внутри корпуса, с орлов из МВД станется. Но можно допустить и что BIOS шили.

Может быть вскрывали чтобы сделать дамп HDD.

Не рискуйте.

Что бы не плодить кучу сообщений, отвечаю всем по порядку следования.

Маркс "Основательный подход.".

Спасибо, не терять же такую уникальную возможность.  Я его по деталям разберу если будет надо, что бы выяснить что они мне там могли сделать. Хотя понимаю, что могли многое.  А вот хотели ли?

Silver 7 , разговаривал с человеком который шил мне биос по моей просьбе, он сказал что его отпечатков там быть не может, поскольку он пользовался ESD перчатками и пинцетом. Значит точно ментовские. Завтра мы вскроем ноут и доберемся до труднодоступной части материнской платы, посмотрим что там.  Плохо что я тогда с ним не разобрал сразу, ноут по 100 раз разбирать, риск что нибудь сломать.

Ivan 45 "не рискуйте".

Иван, возможно вы меня неверно поняли, я не хочу вернуть ноут к интим жизни любой ценой, а хочу извель из сложившейся ситуации максимум опыта.  Использовать его для конфиденциальной работы я не намерен. 

p.s некоторые пишут, что менты тупые и неспособны впарить что то покруче обычного трояна.  Часть правды в этом есть. Но во первых, не все такие. Во вторых, что нельзя сделать самому, можно поручить тому кто умеет.
Мотив "кому ты нужен", успокаивать не должен. На вас могут отрабатывать навыки и новые технологии, особенно если в кибер отделе работает новый спец, рвение у новичков всегда выше чем у бывалых.

Хмм... для полной анонимности я думаю лучше сидеть с ноута(само собой что ТОР, ВПН и т.д) в вай-фае кафе\библиотек т.д. А к своему лучше не подключатся. Чистить куки\реестер(неочень силен в том что чистить ), 0 инфы о себе в инете. И так я думаю ты очень сильно минимизируиш шанс находки себя.

Посетила мысль. Имеем предположительно заразу на винте, с автозапуском и самоудалением. Нужно с винта перекинуть инфу на чистый. Можно конечно смонтировать его с опциями nosuid, noexec, однако есть идея скопировать инфу, загрузившись в ОС в которой зараза попросту неработоспособна. В MSDOS или чт то непопулярное. Это надежнее будет первого варианта?

LiveCD с FreeBSD например. Но я смутно представляю на Win машине мультиплатформенного трояна, который прямо с смонтированного диска набросится даже на linux и растерзает его нахрен

Это уже из области погони за сноуденами.