Jump to content

Охраняемая территория принимающей стороны

( Защищенная область хоста HPA ) — это область жесткого или твердотельного диска , которая обычно не видна операционной системе . Впервые он был представлен в стандарте ATA-4 CXV (T13) в 2001 году. [1]

Как это работает

[ редактировать ]
Создание ГПА. На схеме показано, как создается защищенная область хоста (HPA).
  1. ИДЕНТИФИКАЦИЯ УСТРОЙСТВА возвращает истинный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска.
  2. SET MAX ADDRESS уменьшает сообщаемый размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска. HPA был создан.
  3. IDENTIFY DEVICE возвращает теперь поддельный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска, на котором существует HPA.

Контроллер IDE имеет регистры , содержащие данные, которые можно запрашивать с помощью команд ATA . Возвращенные данные содержат информацию о диске, подключенном к контроллеру. Для создания и использования защищенной области хоста используются три команды ATA. Команды:

  • ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
  • УСТАНОВИТЬ МАКСИМАЛЬНЫЙ АДРЕС
  • ПРОЧТИТЕ СОБСТВЕННЫЙ МАКСИМАЛЬНЫЙ АДРЕС

Операционные системы используют команду IDENTIFY DEVICE, чтобы узнать адресное пространство жесткого диска. Команда IDENTIFY DEVICE запрашивает определенный регистр на IDE-контроллере, чтобы определить размер диска.

Однако этот регистр можно изменить с помощью команды SET MAX ADDRESS ATA. Если значение в реестре меньше фактического размера жесткого диска, то фактически создается защищенная область хоста. Он защищен, поскольку ОС будет работать только со значением в регистре, возвращаемым командой IDENTIFY DEVICE, и поэтому обычно не сможет обратиться к частям диска, расположенным в HPA.

HPA полезен только в том случае, если другое программное обеспечение или прошивка (например, BIOS или UEFI ) могут его использовать. Программное обеспечение и встроенное ПО, которые могут использовать HPA, называются «совместимыми с HPA». Команда ATA, которую используют эти объекты, называется READ NATIVE MAX ADDRESS. Эта команда обращается к регистру, который содержит истинный размер жесткого диска. Чтобы использовать эту область, управляющая программа, поддерживающая HPA, изменяет значение регистра, считываемого командой IDENTIFY DEVICE, на значение, найденное в регистре, считанном командой READ NATIVE MAX ADDRESS. Когда его операции завершены, регистр, считанный IDENTIFY DEVICE, возвращается к исходному поддельному значению.

Использовать

[ редактировать ]
  • В то время, когда HPA впервые был реализован во встроенном ПО жесткого диска, некоторые BIOS испытывали трудности с загрузкой больших жестких дисков. Затем можно было установить начальный HPA (с помощью перемычек на жестком диске) для ограничения количества цилиндров до 4095 или 4096, чтобы запускалась старая версия BIOS. Тогда задача загрузчика заключалась в сбросе HPA, чтобы операционная система видела все пространство на жестком диске.
  • HPA может использоваться различными утилитами загрузки и диагностики, обычно в сочетании с BIOS . Примером такой реализации является Phoenix FirstBIOS , который использует запись расширения загрузки ( BEER ) и службы расширения интерфейса времени выполнения защищенной области ( PARTIES ). [2] Другим примером является установщик Gujin, который может установить загрузчик в BEER, назвав этот псевдораздел /dev/hda0 или /dev/sdb0; тогда успешна будет только холодная загрузка (при выключении питания), поскольку теплая загрузка (при Control-Alt-Delete) не сможет прочитать HPA.
  • Производители компьютеров могут использовать эту область для хранения предварительно загруженной ОС для целей установки и восстановления (вместо предоставления DVD или CD-носителей).
  • Ноутбуки Dell скрывают утилиту Dell MediaDirect в HPA. Ноутбуки IBM ThinkPad и LG скрывают программное обеспечение для восстановления системы в HPA.
  • HPA также используется различными поставщиками услуг по устранению краж и мониторингу. Например, компания CompuTrace, занимающаяся безопасностью ноутбуков , использует HPA для загрузки программного обеспечения, которое отправляет отчеты на их серверы всякий раз, когда машина загружается в сети. HPA полезен для них, потому что даже если жесткий диск украденного ноутбука отформатирован, HPA остается нетронутым.
  • HPA также может использоваться для хранения данных, которые считаются незаконными и поэтому представляют интерес для правительственных и полицейских групп компьютерной криминалистики . [3]
  • Известно , что некоторые корпуса внешних дисков определенных поставщиков (например, Maxtor, принадлежащий Seagate с 2006 года) используют HPA для ограничения емкости неизвестных сменных жестких дисков, установленных в корпусе. В этом случае может показаться, что размер диска ограничен (например, 128 ГБ), что может быть похоже на проблему BIOS или динамического наложения диска (DDO). В этом случае необходимо использовать программные утилиты (см. ниже), которые используют READ NATIVE MAX ADDRESS и SET MAX ADDRESS, чтобы изменить заявленный размер диска обратно на его исходный размер и избегать повторного использования внешнего корпуса с затронутым диском.
  • Некоторые руткиты прячутся в HPA, чтобы не быть обнаруженными антируткитами и антивирусным программным обеспечением. [2]
  • Некоторые эксплойты АНБ используют HPA. [4] для устойчивости приложения.

Идентификация и манипуляция

[ редактировать ]

Идентифицировать HPA на жестком диске можно с помощью ряда инструментов и методов:

Обратите внимание, что функция HPA может быть скрыта с помощью команд DCO (в документации указано, только если HPA не используется) и может быть «заморожена» (до следующего отключения жесткого диска) или защищена паролем. [ нужна ссылка ]

См. также

[ редактировать ]
  1. ^ «Охраняемые территории принимающей стороны» (PDF) . Ютика.edu .
  2. ^ Jump up to: а б Бланден, Билл (2009). Арсенал руткитов: побег и уклонение в темных уголках системы . Плано, Техас : Паб Wordware. п. 538. ИСБН  978-1-59822-061-2 . OCLC   297145864 .
  3. ^ Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2010). Руководство по компьютерной криминалистике и расследованиям (4-е изд.). Бостон: Технология курса, Cengage Learning. п. 334 . ISBN  978-1-435-49883-9 .
  4. ^ «SWAP: Эксплойт дня АНБ — Шнайер о безопасности» .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 77ca9f4294e55418cf0b0e10e3d7c687__1722181980
URL1:https://arc.ask3.ru/arc/aa/77/87/77ca9f4294e55418cf0b0e10e3d7c687.html
Заголовок, (Title) документа по адресу, URL1:
Host protected area - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)