Как упоминалось ранее, dd работает только с файлами и ничего не знает о АТА НРА. В этом разделе будут рассмотрены некоторые способы обнаружения АТА НРА в Linux.

В сценарии данного примера используется 57-гигабайтный диск, содержащий 120 103 200 секторов. Я поместил в сектор 15 ООО строку «here i am»:

# dd if-/def/hdb bs=512 skip=15000 count-1 xxd

1+0 records in

1+0 records out

00000000: 6865 7265 2069 2061 6d0a 0000 0000 0000 here i am.......

Затем в последних 120 091 200 секторах была создана область НРА. Другими словами, на диске остались только 12 ООО секторов, доступных для ОС и приложений. В этом легко убедиться, так как строка в секторе 15 ООО стала недоступной:

# dd itWdef/hdb bs=512 skip-15000 count=l xxd

0+0 records in

0+0 records out

Записи не были скопированы, потому что программа не смогла прочитать данные. Возможны различные варианты обнаружения НРА в Linux. Новые версии Linux выводят сообщения в журнале dmesg. Учтите, что размер журнала ограничен, поэтому при выводе большого количества предупреждений или сообщений об ошибках часть информации будет потеряна. Для нашего диска результат выглядит так:

# dmesg less

[REMOVED]

hdb: Host Protected Area detected.

current capacity is 12000 sectors (6 MB) native capacity is 120103200 sectors (61492 MB)

Впрочем, это сообщение выводится не во всех версиях Windows. Другой способ обнаружения НРА основан на использовании программы hdparm, входящей в поставку Linux. Программа выводит информацию о жестком диске, и для получения общего количества секторов необходимо указывать флаг -I. Полученное значение сравнивается со значением, записанным на диск или найденным на сайте фирмы-производителя. По выходным данным hdparm также можно судить о том, поддерживает ли диск НРА (у старых дисков поддержка НРА отсутствует).

# hdparm -I /dev/hvb

[REMOVED]

CHS current addressable sectors: 11088

LBA user addressable sectors: 12000

LBA48 user addressable sectors: 12000

[REMOVED]

Commands/features:

Enabled Supported:

* Host Protected Area feature set

В наклейке на моем диске сказано, что диск содержит 120 103 200 секторов;

следовательно, многие секторы оказались недоступными для адресации. Нако нец, можно воспользоваться утилитой diskstat из пакета The Sleuth Kit. Утилита отображает максимальный фактический адрес и максимальный адрес, доступный для пользователя:

# diskstat /dev/hdb

Maximum Disk Sector: 120103199

Maximum User Sector: 11999

** HPA Detected (Sectors 12000 - 120103199) **

Для обращения к данным необходимо сбросить ограничения доступа. Одной из программ, которая позволяет это сделать, является утилита setmax (http:// www.win.tue.nl/~aeb/Linux/setmax.с). Мы запускаем setmax и задаем максимальное количество секторов на диске, то есть 120 103 200 для данного примера. Утилита изменяет конфигурацию жесткого диска, поэтому при работе с ней необходима крайняя осторожность (в частности, следует тщательно документировать все выполняемые действия). Также учтите, что программа не поддерживает временное изменение максимального адреса, так что вносимые изменения являются постоянными. Если вы намерены использовать подобную программу, сначала протестируйте ее на других дисках и только потом переходите к диску, который может содержать ценную информацию:

# setmax --max 120103200 /dev/hdb

После сброса ограничений максимального адреса программа dd может использоваться для снятия информации со всего диска. Запишите размер НРА; это позволит вам вернуть диск в исходное состояние, с которого начинался анализ данных.

Источник | Криминалистический анализ файловых систем | Приемник


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс