Защитная зона хозяина ( НРА ) является областью с жесткого диска или твердотельного накопителя , которая обычно не видна на операционной системе . Впервые он был представлен в стандарте ATA-4 CXV (T13) в 2001 году. [1]
Как это работает [ править ]
- IDENTIFY DEVICE возвращает истинный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска.
- SET MAX ADDRESS уменьшает заявленный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска. Создан HPA.
- IDENTIFY DEVICE возвращает поддельный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска, HPA существует.
Контроллер IDE имеет регистры , содержащие данные, которые можно запросить с помощью команд ATA . Возвращенные данные дают информацию о диске, подключенном к контроллеру. В создании и использовании защищенной области хоста участвуют три команды ATA. Команды:
- ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
- УСТАНОВИТЬ МАКСИМАЛЬНЫЙ АДРЕС
- ЧИТАТЬ НАТИВНЫЙ МАКС. АДРЕС
Операционные системы используют команду IDENTIFY DEVICE, чтобы узнать адресуемое пространство жесткого диска. Команда IDENTIFY DEVICE запрашивает конкретный регистр на контроллере IDE, чтобы установить размер диска.
Однако этот регистр можно изменить с помощью команды SET MAX ADDRESS ATA. Если значение в регистре меньше фактического размера жесткого диска, то эффективно создается защищенная область хоста. Он защищен, потому что ОС будет работать только со значением в регистре, которое возвращается командой IDENTIFY DEVICE, и, таким образом, обычно не может адресовать части диска, которые находятся в HPA.
HPA полезен только в том случае, если другое программное обеспечение или прошивка (например, BIOS или UEFI ) могут его использовать. Программное обеспечение и микропрограммное обеспечение, которые могут использовать HPA, называются «осведомленными о HPA». Команда ATA, которую используют эти объекты, называется READ NATIVE MAX ADDRESS. Эта команда обращается к регистру, который содержит истинный размер жесткого диска. Чтобы использовать эту область, управляющая программа, поддерживающая HPA, изменяет значение регистра, считываемого IDENTIFY DEVICE, на значение, найденное в регистре, считанном READ NATIVE MAX ADDRESS. Когда его операции завершены, регистр, прочитанный IDENTIFY DEVICE, возвращается к исходному фальшивому значению.
Использовать[ редактировать ]
 | Этот раздел требует дополнительных ссылок для проверки . ( Ноябрь 2016 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
- В то время, когда HPA была впервые реализована в прошивке жестких дисков, некоторые BIOS испытывали трудности при загрузке с больших жестких дисков. Затем можно установить начальный HPA (с помощью некоторых перемычек на жестком диске), чтобы ограничить количество цилиндров до 4095 или 4096, чтобы стартовала более старая версия BIOS. Затем загрузчик должен был сбросить HPA, чтобы операционная система могла видеть все пространство на жестком диске.
- HPA может использоваться различными утилитами загрузки и диагностики, обычно совместно с BIOS . Примером этой реализации является Phoenix FirstBIOS , в которой используется запись расширения Boot Engineering Extension ( BEER ) и службы расширения интерфейса времени выполнения защищенной области ( PARTIES ). [2] Другой пример - программа установки Gujin, которая может установить загрузчик в BEER, назвав этот псевдораздел / dev / hda0 или / dev / sdb0; тогда только холодная загрузка (из выключенного питания) будет успешной, потому что теплая загрузка (из Control-Alt-Delete) не сможет прочитать HPA.
- Производители компьютеров могут использовать эту область для хранения предустановленной ОС для целей установки и восстановления (вместо предоставления DVD или CD-носителей).
- Ноутбуки Dell скрывают утилиту Dell MediaDirect в HPA. Ноутбуки IBM ThinkPad и LG скрывают программное обеспечение восстановления системы в HPA.
- HPA также используется различными поставщиками услуг по обнаружению краж и мониторингу. Например, компания Computrace, занимающаяся безопасностью портативных компьютеров, использует HPA для загрузки программного обеспечения, которое отправляет отчеты на их серверы при каждой загрузке машины в сети. HPA полезен для них, потому что даже после форматирования жесткого диска украденного ноутбука HPA остается нетронутым.
- HPA также может использоваться для хранения данных, которые считаются незаконными и поэтому представляют интерес для правительственных и полицейских групп компьютерной экспертизы . [3]
- Известно, что в некоторых корпусах для внешних дисков конкретного производителя (например, Maxtor, принадлежащем Seagate с 2006 г.) используется HPA для ограничения емкости неизвестных сменных жестких дисков, установленных в корпусе. Когда это происходит, диск может казаться ограниченным по размеру (например, 128 ГБ), что может выглядеть как проблема с BIOS или динамическим наложением диска (DDO). В этом случае необходимо использовать программные утилиты (см. Ниже), которые используют READ NATIVE MAX ADDRESS и SET MAX ADDRESS, чтобы вернуть указанный размер диска к исходному размеру и избегать повторного использования внешнего корпуса с затронутым диском.
- Некоторые руткиты прячутся в HPA, чтобы их не обнаружили антируткиты и антивирусные программы. [2]
- Некоторые эксплойты NSA используют HPA [4] для сохранения приложений.
Идентификация и манипуляции [ править ]
Идентификация HPA на жестком диске может быть достигнута с помощью ряда инструментов и методов.
Обратите внимание, что функция HPA может быть скрыта командами DCO (в документации указано, только если HPA не используется) и может быть «заморожена» (до следующего отключения питания жесткого диска) или защищена паролем.
Инструменты идентификации [ править ]
- ATATool от Data Synergy
- The Sleuth Kit (бесплатное открытое программное обеспечение) от Брайана Кэрриера (идентификация HPA в настоящее время доступна только для Linux).
- Программное обеспечение EnCase by Guidance
- Набор инструментов для криминалистики по данным доступа
Методы идентификации [ править ]
Windows , программа ATATool может обнаружить НРА. Например, чтобы узнать, есть ли на первом диске HPA, используйте команду:
ATATOOL / ИНФОРМАЦИЯ \\. \ PhysicalDrive0
Используя Linux , существуют различные способы определения наличия HPA. Последние версии Linux выводят сообщение при загрузке системы при обнаружении HPA. Например:
dmesg | меньше[...]hdb: Обнаружена защищенная область хоста. текущая емкость - 12000 секторов (6 МБ) собственная емкость 120103200 секторов (61492 МБ)
Программа hdparm (версии 8.0 и выше) обнаружит HPA на диске sdX при запуске со следующими параметрами:
hdparm -N / dev / sdX
Для версий hdparm ниже 8 можно сравнить количество секторов, выводимых из hdparm -I, с количеством секторов, указанным в опубликованной статистике модели жесткого диска.
Методы манипуляции [ править ]
Окна программа ATATool может быть использован для создания НР. Например, чтобы создать HPA на 10 ГБ:
ATATOOL / NONVOLATILEHPA / SETHPA: 10 ГБ \\. \ PhysicalDrive1
Программа Linux hdparm (версия> = 8.0) создаст HPA при вызове со следующими параметрами: (sdX: целевой диск, #: количество видимых секторов, отличных от HPA)
hdparm -N p # / dev / sdX
См. Также [ править ]
- Наложение конфигурации устройства (DCO)
- Таблица разделов GUID (GPT)
- Основная загрузочная запись (MBR)
Ссылки [ править ]
- ^ «Зоны, защищенные хостом» (PDF) . Utica.edu .
- ^ a b Бланден, Билл. Арсенал руткитов: побег и уклонение в темных углах системы. 1-е изд. Издательство "Джонс и Бартлетт", 2009 г., стр. 538.
- ^ Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2010). Руководство по компьютерной криминалистике и расследованиям (4-е изд.). Бостон: Технология курсов, обучение Cengage. п. 334 . ISBN 1-435-49883-6.
- ^ https://www.schneier.com/blog/archives/2014/02/swap_nsa_exploi.html
Внешние ссылки [ править ]
- Комплект Сыщика
- Международный журнал цифровых доказательств
- Дублинский городской университет вики по безопасности и криминалистике
- Wiki Web для пользователей ThinkPad
