Охраняемая территория принимающей стороны

( Защищенная область хоста HPA ) — это область жесткого или твердотельного диска , которая обычно не видна операционной системе . Впервые он был представлен в стандарте ATA-4 CXV (T13) в 2001 году. ^[1]

Как это работает

Создание ГПА. На схеме показано, как создается защищенная область хоста (HPA).
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА возвращает истинный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска.
SET MAX ADDRESS уменьшает сообщаемый размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска. HPA был создан.
IDENTIFY DEVICE возвращает теперь поддельный размер жесткого диска. READ NATIVE MAX ADDRESS возвращает истинный размер жесткого диска, на котором существует HPA.

Контроллер IDE имеет регистры , содержащие данные, которые можно запрашивать с помощью команд ATA . Возвращенные данные содержат информацию о диске, подключенном к контроллеру. Для создания и использования защищенной области хоста используются три команды ATA. Команды:

ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
УСТАНОВИТЬ МАКСИМАЛЬНЫЙ АДРЕС
ПРОЧТИТЕ СОБСТВЕННЫЙ МАКСИМАЛЬНЫЙ АДРЕС

Операционные системы используют команду IDENTIFY DEVICE, чтобы узнать адресное пространство жесткого диска. Команда IDENTIFY DEVICE запрашивает определенный регистр на IDE-контроллере, чтобы определить размер диска.

Однако этот регистр можно изменить с помощью команды SET MAX ADDRESS ATA. Если значение в реестре меньше фактического размера жесткого диска, то фактически создается защищенная область хоста. Он защищен, поскольку ОС будет работать только со значением в регистре, возвращаемым командой IDENTIFY DEVICE, и поэтому обычно не сможет обратиться к частям диска, расположенным в HPA.

HPA полезен только в том случае, если другое программное обеспечение или прошивка (например, BIOS или UEFI ) могут его использовать. Программное обеспечение и встроенное ПО, которые могут использовать HPA, называются «совместимыми с HPA». Команда ATA, которую используют эти объекты, называется READ NATIVE MAX ADDRESS. Эта команда обращается к регистру, который содержит истинный размер жесткого диска. Чтобы использовать эту область, управляющая программа, поддерживающая HPA, изменяет значение регистра, считываемого командой IDENTIFY DEVICE, на значение, найденное в регистре, считанном командой READ NATIVE MAX ADDRESS. Когда его операции завершены, регистр, считанный IDENTIFY DEVICE, возвращается к исходному поддельному значению.

Использовать

В то время, когда HPA впервые был реализован во встроенном ПО жесткого диска, некоторые BIOS испытывали трудности с загрузкой больших жестких дисков. Затем можно было установить начальный HPA (с помощью перемычек на жестком диске) для ограничения количества цилиндров до 4095 или 4096, чтобы запускалась старая версия BIOS. Тогда задача загрузчика заключалась в сбросе HPA, чтобы операционная система видела все пространство на жестком диске.
HPA может использоваться различными утилитами загрузки и диагностики, обычно в сочетании с BIOS . Примером такой реализации является Phoenix FirstBIOS , который использует запись расширения загрузки ( BEER ) и службы расширения интерфейса времени выполнения защищенной области ( PARTIES ). ^[2] Другим примером является установщик Gujin, который может установить загрузчик в BEER, назвав этот псевдораздел /dev/hda0 или /dev/sdb0; тогда успешна будет только холодная загрузка (при выключении питания), поскольку теплая загрузка (при Control-Alt-Delete) не сможет прочитать HPA.
Производители компьютеров могут использовать эту область для хранения предварительно загруженной ОС для целей установки и восстановления (вместо предоставления DVD или CD-носителей).
Ноутбуки Dell скрывают утилиту Dell MediaDirect в HPA. Ноутбуки IBM ThinkPad и LG скрывают программное обеспечение для восстановления системы в HPA.
HPA также используется различными поставщиками услуг по устранению краж и мониторингу. Например, компания CompuTrace, занимающаяся безопасностью ноутбуков , использует HPA для загрузки программного обеспечения, которое отправляет отчеты на их серверы всякий раз, когда машина загружается в сети. HPA полезен для них, потому что даже если жесткий диск украденного ноутбука отформатирован, HPA остается нетронутым.
HPA также может использоваться для хранения данных, которые считаются незаконными и поэтому представляют интерес для правительственных и полицейских групп компьютерной криминалистики . ^[3]
Известно , что некоторые корпуса внешних дисков определенных производителей (например, Maxtor, принадлежащий Seagate с 2006 года) используют HPA для ограничения емкости неизвестных сменных жестких дисков, установленных в корпусе. В этом случае может показаться, что размер диска ограничен (например, 128 ГБ), что может быть похоже на проблему BIOS или динамического наложения диска (DDO). В этом случае необходимо использовать программные утилиты (см. ниже), которые используют READ NATIVE MAX ADDRESS и SET MAX ADDRESS, чтобы изменить заявленный размер диска обратно на его исходный размер и избегать повторного использования внешнего корпуса с затронутым диском.
Некоторые руткиты прячутся в HPA, чтобы их не обнаружили антируткиты и антивирусные программы. ^[2]
Некоторые эксплойты АНБ используют HPA. ^[4] для устойчивости приложения.

Идентификация и манипуляция

Идентифицировать HPA на жестком диске можно с помощью ряда инструментов и методов:

ATATool от Data Synergy
EnCase от Guidance Software
Набор инструментов для криминалистической экспертизы по данным доступа
hdparm Марка Лорда
Sleuth Kit (бесплатное открытое программное обеспечение) от Брайана Кэрриера (идентификация HPA в настоящее время поддерживается только в Linux).

Обратите внимание, что функция HPA может быть скрыта с помощью команд DCO (в документации указано, только если HPA не используется) и может быть «заморожена» (до следующего отключения жесткого диска) или защищена паролем. ^{[ нужна ссылка ]}

См. также

Ссылки

^ «Охраняемые территории принимающей стороны» (PDF) . Ютика.edu .
^ Jump up to: ^а ^б Бланден, Билл (2009). Арсенал руткитов: побег и уклонение в темных уголках системы . Плано, Техас : Паб Wordware. п. 538. ИСБН 978-1-59822-061-2 . OCLC 297145864 .
^ Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2010). Руководство по компьютерной криминалистике и расследованиям (4-е изд.). Бостон: Технология курса, Cengage Learning. п. 334 . ISBN 978-1-435-49883-9 .
^ «SWAP: Эксплойт дня АНБ — Шнайер о безопасности» .

Внешние ссылки

[1] «Охраняемые территории принимающей стороны» (PDF) . Ютика.edu .

[:0-2] Jump up to: ^а ^б Бланден, Билл (2009). Арсенал руткитов: побег и уклонение в темных уголках системы . Плано, Техас : Паб Wordware. п. 538. ИСБН 978-1-59822-061-2 . OCLC 297145864 .

[3] Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2010). Руководство по компьютерной криминалистике и расследованиям (4-е изд.). Бостон: Технология курса, Cengage Learning. п. 334 . ISBN 978-1-435-49883-9 .

[4] «SWAP: Эксплойт дня АНБ — Шнайер о безопасности» .

[1]

[2]

[3]

[4]