Охраняемая территория хоста

Область жесткого диска, которая обычно не видна операционной системе

Защищенная область хоста ( HPA ) — это область жесткого диска или твердотельного накопителя , которая обычно не видна операционной системе . Впервые она была введена в стандарте ATA-4 CXV (T13) в 2001 году. ^[1]

Как это работает

Создание HPA. На схеме показано, как создается защищенная зона хоста (HPA).

1. IDENTIFY DEVICE возвращает истинный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска.
2. SET MAX ADDRESS уменьшает сообщаемый размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска. HPA создан.
3. IDENTIFY DEVICE возвращает теперь поддельный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска, HPA существует.

Контроллер IDE имеет регистры , содержащие данные, которые можно запросить с помощью команд ATA . Возвращаемые данные содержат информацию о диске, подключенном к контроллеру. В создании и использовании защищенной области хоста участвуют три команды ATA. Команды следующие:

• ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
• УСТАНОВИТЬ МАКСИМАЛЬНЫЙ АДРЕС
• ЧИТАТЬ МАКСИМАЛЬНЫЙ АДРЕС НАТИВЫ

Операционные системы используют команду IDENTIFY DEVICE для определения адресного пространства жесткого диска. Команда IDENTIFY DEVICE запрашивает определенный регистр на контроллере IDE, чтобы установить размер диска.

Однако этот регистр можно изменить с помощью команды SET MAX ADDRESS ATA. Если значение в регистре установлено меньше фактического размера жесткого диска, то фактически создается защищенная область хоста. Она защищена, поскольку ОС будет работать только со значением в регистре, которое возвращается командой IDENTIFY DEVICE, и, таким образом, обычно не сможет обращаться к частям диска, которые находятся в HPA.

HPA полезен только в том случае, если другое программное обеспечение или прошивка (например, BIOS или UEFI ) могут его использовать. Программное обеспечение и прошивка, которые могут использовать HPA, называются «осведомленными о HPA». Команда ATA, которую используют эти сущности, называется READ NATIVE MAX ADDRESS. Эта команда обращается к регистру, который содержит истинный размер жесткого диска. Чтобы использовать область, управляющая программа, поддерживающая HPA, изменяет значение регистра, считанного IDENTIFY DEVICE, на значение, найденное в регистре, считанном READ NATIVE MAX ADDRESS. Когда ее операции завершены, регистр, считанный IDENTIFY DEVICE, возвращается к своему первоначальному поддельному значению.

Использовать

• В то время, когда HPA впервые была реализована в прошивке жесткого диска, некоторые BIOS испытывали трудности с загрузкой с больших жестких дисков. Затем можно было установить начальный HPA (некоторыми перемычками на жестком диске) для ограничения количества цилиндров до 4095 или 4096, чтобы запустить старый BIOS. Затем загрузчик должен был сбросить HPA, чтобы операционная система увидела полное пространство жесткого диска.
• HPA может использоваться различными утилитами загрузки и диагностики, обычно в сочетании с BIOS . Примером такой реализации является Phoenix FirstBIOS, который использует Boot Engineering Extension Record ( BEER ) и Protected Area Run Time Interface Extension Services ( PARTIES ). ^[2] Другим примером является установщик Gujin, который может установить загрузчик в BEER, назвав этот псевдораздел /dev/hda0 или /dev/sdb0; тогда только холодная загрузка (из выключения питания) будет успешной, поскольку теплая загрузка (из Control-Alt-Delete) не сможет прочитать HPA.
• Производители компьютеров могут использовать эту область для хранения предустановленной ОС для целей установки и восстановления (вместо предоставления DVD- или CD-носителей).
• Ноутбуки Dell скрывают утилиту Dell MediaDirect в HPA. Ноутбуки IBM ThinkPad и LG скрывают программное обеспечение восстановления системы в HPA.
• HPA также используется различными поставщиками услуг по восстановлению и мониторингу после кражи. Например, фирма по безопасности ноутбуков CompuTrace использует HPA для загрузки программного обеспечения, которое сообщает на их серверы о каждой загрузке машины в сети. HPA полезен для них, поскольку даже если жесткий диск украденного ноутбука отформатирован, HPA остается нетронутым.
• HPA также может использоваться для хранения данных, которые считаются незаконными и, таким образом, представляют интерес для правительственных и полицейских групп компьютерной криминалистики . ^[3]
• Известно, что некоторые внешние корпуса для дисков, специфичные для поставщиков (например, Maxtor, принадлежащий Seagate с 2006 года), используют HPA для ограничения емкости неизвестных сменных жестких дисков, установленных в корпус. Когда это происходит, может показаться, что диск ограничен по размеру (например, 128 ГБ), что может выглядеть как проблема BIOS или динамического наложения диска (DDO). В этом случае необходимо использовать программные утилиты (см. ниже), которые используют READ NATIVE MAX ADDRESS и SET MAX ADDRESS, чтобы изменить сообщаемый размер диска обратно на его собственный размер, и избегать повторного использования внешнего корпуса с затронутым диском.
• Некоторые руткиты скрываются в HPA, чтобы избежать обнаружения антируткитным и антивирусным программным обеспечением. ^[2]
• Некоторые эксплойты АНБ используют HPA ^[4] для сохранения приложений.

Идентификация и манипуляция

Идентификацию HPA на жестком диске можно осуществить с помощью ряда инструментов и методов:

• ATATool от Data Synergy
• EnCase от программного обеспечения Guidance
• Криминалистический инструментарий от Access Data
• hdparm Марка Лорда
• Sleuth Kit (бесплатное открытое программное обеспечение) Брайана Кэрриера (в настоящее время идентификация HPA поддерживается только в Linux.)

Обратите внимание, что функция HPA может быть скрыта командами DCO (в документации указано, что это возможно только в том случае, если HPA не используется), а также может быть «заморожена» (до следующего отключения питания жесткого диска) или защищена паролем. ^{[ необходима цитата ]}

Смотрите также

• Наложение конфигурации устройства (DCO)
• Таблица разделов GUID (GPT)
• Основная загрузочная запись (MBR)

Ссылки

1. "Хост охраняемых территорий" (PDF) . Utica.edu .
2. Blunden, Bill (2009). Арсенал руткитов: побег и уклонение в темных углах системы . Plano, Texas : Wordware Pub. стр. 538. ISBN 978-1-59822-061-2. OCLC  297145864.
3. Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2010). Руководство по компьютерной криминалистике и расследованиям (4-е изд.). Бостон: Курс Технологии, Cengage Learning. стр. 334. ISBN 978-1-435-49883-9.
4. «SWAP: Уязвимость дня АНБ — Шнайер о безопасности».

Внешние ссылки

• Набор детектива
• Международный журнал цифровых доказательств
• Википедия по безопасности и криминалистике Дублинского городского университета
• Wiki Web для пользователей ThinkPad