Наложение конфигурации устройства
Наложение конфигурации устройства ( DCO ) — это скрытая область на многих современных жестких дисках (HDD). Обычно, когда информация хранится либо в DCO, либо в защищенной области хоста (HPA), она недоступна для BIOS (или UEFI ), ОС или пользователя. Однако некоторые инструменты можно использовать для изменения HPA или DCO. Система использует команду IDENTIFY_DEVICE для определения поддерживаемых функций данного жесткого диска, но DCO может сообщить этой команде, что поддерживаемые функции отсутствуют или что диск меньше, чем он есть на самом деле. Чтобы определить фактический размер и характеристики диска, используется команда DEVICE_CONFIGURATION_IDENTIFY, и выходные данные этой команды можно сравнить с выходными данными IDENTIFY_DEVICE, чтобы увидеть, присутствует ли DCO на данном жестком диске. Большинство основных инструментов удаляют DCO, чтобы полностью создать образ жесткого диска, с помощью команды DEVICE_CONFIGURATION_RESET. Это навсегда изменяет диск, в отличие от защищенной области хоста (HPA), которую можно временно удалить для выключения и включения питания. [1]
Использование
[ редактировать ]Наложение конфигурации устройства (DCO), которое впервые было представлено в стандарте ATA-6, «позволяет поставщикам систем приобретать жесткие диски разных производителей с потенциально разными размерами, а затем настраивать все жесткие диски на одинаковое количество секторов. Пример это будет использовать DCO, чтобы 80-гигабайтный жесткий диск отображался как 60-гигабайтный жесткий диск как для (ОС), так и для BIOS.... Учитывая возможность размещения данных в этих скрытых областях, это вызывает беспокойство у создание Дополнительной проблемой для следователей-криминалистов является образа жесткого диска, на котором установлен HPA и/или DCO. Хотя некоторые поставщики утверждают, что их инструменты способны как правильно обнаруживать, так и отображать HPA, они либо ничего не говорят об обращении с ним. ИДК или указать, что это выходит за рамки возможностей их инструмента». [2]
Программные инструменты DCO
[ редактировать ]Инструменты обнаружения
[ редактировать ]HDAT2 — бесплатная программа для MS-DOS . Его можно использовать для создания/удаления защищенной области хоста (HPA) (с помощью команды SET MAX) и создания/удаления скрытой области DCO (с помощью команды DCO MODIFY). Он также может выполнять другие функции в DCO.
от Data Synergy Бесплатная утилита ATATool может использоваться для обнаружения DCO в среде Windows . Последние версии позволяют создавать, удалять или замораживать DCO. [3]
Инструменты создания образов программного обеспечения
[ редактировать ]Guidance Software от EnCase поставляется с инструментом LinEn на базе Linux, который создает образы жестких дисков. LinEn 6.01 был проверен Национальным институтом юстиции (NIJ) в октябре 2008 года, и они обнаружили, что «инструмент не удаляет ни защищенные области хоста (HPA), ни DCO. Однако тестовая среда Linux автоматически удалила HPA в тесте». диск, что позволяет инструменту создавать изображения секторов, скрытых HPA. Инструмент не получил секторы, скрытые DCO». [4]
FTK Imager 2.5.3.14 компании AccessData был проверен Национальным институтом юстиции (NIJ) в июне 2008 года. Их результаты показали, что «если физическое получение данных осуществляется с диска со скрытыми секторами либо в защищенной области хоста, либо в наложении конфигурации устройства, инструмент не удаляет ни HPA, ни DCO. Инструмент не получил секторы, скрытые HPA». [5]
Инструменты создания образов оборудования
[ редактировать ]Было обнаружено множество инструментов визуализации оборудования для успешного обнаружения и удаления DCO. Национальный институт юстиции регулярно тестирует инструменты цифровой криминалистики, и эти публикации можно найти по адресу: www.ojp.gov или NIST по адресу https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt
Создание DCO
[ редактировать ]В Windows вы можете использовать такой инструмент, как ATATool, для создания DCO.
Установите DCO на 100 ГБ на жестком диске 1:
ATATOOL /SETDCO:100GB \\.\PhysicalDrive1
Удалите DCO размером 100 ГБ на жестком диске 1:
ATATOOL /RESTOREDCO:100GB \\.\PhysicalDrive1
Предупреждение: эти команды могут привести к потере данных или еще хуже, если вы выполните команду, содержащую данные. Обязательно дважды проверьте, что это правильный диск, и отформатируйте его перед созданием DCO. Пожалуйста, используйте ATATool на свой страх и риск. [6]
См. также
[ редактировать ]- Защищенная зона хоста (HPA)
- Основная загрузочная запись (MBR)
- Таблица разделов GUID (GPT)
Ссылки
[ редактировать ]- ^ Брайан Кэрриер (2005). Криминалистический анализ файловой системы . Эддисон Уэсли. п. 38. ISBN 0321268172 .
- ^ Марк К. Роджерс; Маянк Р. Гупта; Майкл Д. Хошеле (сентябрь 2006 г.). «Скрытые области диска: HPA и DCO» (PDF) .
- ^ Data Synergy UK (июль 2015 г.). «ATATool — Утилита Data Synergy для Windows HPA/DCO» .
- ^ Национальный институт юстиции (октябрь 2008 г.). «Результаты испытаний NIJ для инструмента сбора цифровых данных: EnCase LinEn 6.01» (PDF) . п. 5.
- ^ Национальный институт юстиции (июнь 2008 г.). «Результаты испытаний NIJ для инструмента сбора цифровых данных: FTK Imager 2.5.3.14» (PDF) . п. 6.
- ^ «Программное обеспечение PowerMAN для управления питанием ПК от Data Synergy» . Проверено 3 февраля 2017 г.