Наложение конфигурации устройства - Device configuration overlay

Наложение конфигурации устройства (DCO) является скрытой областью на многих сегодняшних жесткие диски (HDD). Обычно, когда информация хранится либо в DCO, либо в принимающая охраняемая территория (HPA), он недоступен для BIOS, Операционные системы, или пользователь. Однако для изменения HPA или DCO можно использовать определенные инструменты. Система использует команду IDENTIFY_DEVICE для определения поддерживаемых функций данного жесткого диска, но DCO может сообщить этой команде, что поддерживаемые функции отсутствуют или что диск меньше, чем есть на самом деле. Чтобы определить фактический размер и характеристики диска, используется команда DEVICE_CONFIGURATION_IDENTIFY, и вывод этой команды можно сравнить с выводом IDENTIFY_DEVICE, чтобы увидеть, присутствует ли DCO на данном жестком диске. Большинство основных инструментов удаляют DCO, чтобы полностью создать образ жесткого диска, используя команду DEVICE_CONFIGURATION_RESET. Это навсегда изменяет диск, в отличие от принимающая охраняемая территория (HPA), который можно временно отключить на время цикла включения питания.[1]

Использует

Наложение конфигурации устройства (DCO), которое было впервые представлено в стандарте ATA-6, «позволяет поставщикам систем приобретать жесткие диски разных производителей с потенциально разными размерами, а затем настраивать все жесткие диски на одинаковое количество секторов. Пример при этом будет использоваться DCO, чтобы 80-гигабайтный жесткий диск выглядел как 60-гигабайтный жесткий диск как для (ОС), так и для BIOS .... Учитывая возможность размещения данных в этих скрытых областях, это вызывает беспокойство для компьютерная экспертиза следователи. Дополнительная проблема для судебных следователей: визуализация жесткий диск, на котором находится HPA и / или DCO. Хотя некоторые поставщики заявляют, что их инструменты способны правильно обнаруживать и отображать HPA, они либо умалчивают об обращении с DCO, либо указывают, что это выходит за рамки возможностей их инструмента ».[2]

Программные инструменты DCO

Инструменты обнаружения

HDAT2 бесплатное программное обеспечение для MS-DOS. Его можно использовать для создания / удаления защищенной области хоста (HPA) (с помощью команды SET MAX) и создания / удаления скрытой области DCO (с помощью команды DCO MODIFY). Он также может выполнять другие функции в DCO.

Бесплатное программное обеспечение Data Synergy ATATool утилиту можно использовать для обнаружения DCO из Windows среда. Последние версии позволяют создавать, удалять или замораживать DCO.[3]

Виктория 5.xx Бесплатная утилита для тестирования, ремонта и тестирования HDD / SSD позволяет работать с DCO из Windows среда. Есть полный набор возможностей для работы с DCO: получение структуры, ее редактирование и применение изменений.

Программные средства визуализации

Программное обеспечение для навигации с EnCase поставляется с инструментом на основе Linux, который создает образы жестких дисков под названием LinEn. LinEn 6.01 была одобрена Национальный институт юстиции (NIJ) в октябре 2008 г., и они обнаружили, что «Инструмент не удаляет ни защищенные области хоста (HPA), ни DCO. Однако тестовая среда Linux автоматически удалила HPA на тестовом диске, что позволяет инструменту создавать изображения секторов, скрытых HPA. Инструмент не обнаруживал секторы, скрытые DCO ".[4]

Программа AccessData FTK Imager 2.5.3.14 была утверждена Национальный институт юстиции (NIJ) в июне 2008 года. Их результаты показали, что «Если физическое получение данных осуществляется с диска со скрытыми секторами в защищенной области хоста или наложении конфигурации устройства, инструмент не удаляет ни HPA, ни DCO. Инструмент не получил секторов, скрытых HPA ".[5]

Инструменты для создания образов оборудования

Было обнаружено, что для успешного обнаружения и удаления DCO используются различные инструменты визуализации оборудования. NIJ регулярно тестирует инструменты цифровой криминалистики, и эти публикации можно найти на https://www.ojp.gov/feature/forensic-sciences/additional-resources или из NIST в https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt

Смотрите также

Рекомендации

  1. ^ Брайан Кэрриер (2005). Криминалистический анализ файловой системы. Эддисон Уэсли. п. 38.
  2. ^ Марк К. Роджерс; Маянк Р. Гупта; Майкл Д. Хошеле (сентябрь 2006 г.). «Скрытые дисковые области: HPA и DCO» (PDF). Проверено августа 2010 г.. Проверить значения даты в: | accessdate = (помощь)
  3. ^ Data Synergy UK (июль 2015 г.). "ATATool - Утилита Data Synergy Windows HPA / DCO".
  4. ^ Национальный институт юстиции (октябрь 2008 г.). «Результаты тестирования NIJ для инструмента сбора цифровых данных: EnCase LinEn 6.01» (PDF). п. 5. Проверено сентябрь 2010 г.. Проверить значения даты в: | accessdate = (помощь)
  5. ^ Национальный институт юстиции (июнь 2008 г.). "Результаты тестирования NIJ для инструмента сбора цифровых данных: FTK Imager 2.5.3.14" (PDF). п. 6. Проверено сентябрь 2010 г.. Проверить значения даты в: | accessdate = (помощь)