НРА


Как упоминалось ранее, dd работает только с файлами и ничего не знает о АТА НРА. В этом разделе будут рассмотрены некоторые способы обнаружения АТА НРА в Linux.
В сценарии данного примера используется 57-гигабайтный диск, содержащий 120 103 200 секторов. Я поместил в сектор 15 ООО строку «here i am»: dd if-/def/hdb bs=512 skip=15000 count-1 | xxd
1+0 records in
1+0 records out
00000000: 6865 7265 2069 2061 6d0a 0000 0000 0000 here i am
Затем в последних 120 091 200 секторах была создана область НРА. Другими словами, на диске остались только 12 ООО секторов, доступных для ОС и приложений. В этом легко убедиться, так как строка в секторе 15 ООО стала недоступной: dd itWdef/hdb bs=512 skip-15000 count=l | xxd
0+0 records in
0+0 records out
Записи не были скопированы, потому что программа не смогла прочитать данные. Возможны различные варианты обнаружения НРА в Linux. Новые версии Linux выводят сообщения в журнале dmesg. Учтите, что размер журнала ограничен, поэтому при выводе большого количества предупреждений или сообщений
об              ошибках часть информации будет потеряна. Для нашего диска результат выглядит так: dmesg | less
[REMOVED]
hdb: Host Protected Area detected.
current capacity is 12000 sectors (6 MB) native capacity is 120103200 sectors (61492 MB)

Впрочем, это сообщение выводится не во всех версиях Windows. Другой способ обнаружения НРА основан на использовании программы hdparm, входящей в поставку Linux. Программа выводит информацию о жестком диске, и для получения общего количества секторов необходимо указывать флаг -I. Полученное значение сравнивается со значением, записанным на диск или найденным на сайте фирмы-производителя. По выходным данным hdparm также можно судить о том, поддерживает ли диск НРА (у старых дисков поддержка НРА отсутствует). hdparm -I /dev/hvb
[REMOVED]
CHS current addressable sectors:              11088
LBA user addressable sectors:              12000
LBA48 user addressable sectors:              12000
[REMOVED]
Commands/features:
Enabled Supported: Host Protected Area feature set
В наклейке на моем диске сказано, что диск содержит              120              103              200              секторов;
следовательно, многие секторы оказались недоступными              для              адресации.              Нако
нец, можно воспользоваться утилитой diskstat из пакета The Sleuth Kit.
Утилита отображает максимальный фактический адрес и максимальный адрес, доступный для пользователя: diskstat /dev/hdb
Maximum Disk Sector: 120103199
Maximum User Sector: 11999
** HPA Detected (Sectors 12000 - 120103199) **
Для обращения к данным необходимо сбросить ограничения доступа. Одной из программ, которая позволяет это сделать, является утилита setmax (http:// www.win.tue.nl/~aeb/linux/setmax.с). Мы запускаем setmax и задаем максимальное количество секторов на диске, то есть 120 103 200 для данного примера. Утилита изменяет конфигурацию жесткого диска, поэтому при работе с ней необходима крайняя осторожность (в частности, следует тщательно документировать все выполняемые действия). Также учтите, что программа не поддерживает временное изменение максимального адреса, так что вносимые изменения являются постоянными. Если вы намерены использовать подобную программу, сначала протестируйте ее на других дисках и только потом переходите к диску, который может содержать ценную информацию: setmax --max 120103200 /dev/hdb
После сброса ограничений максимального адреса программа dd может использоваться для снятия информации со всего диска. Запишите размер НРА; это позволит вам вернуть диск в исходное состояние, с которого начинался анализ данных. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме НРА:

  1. Область НРА
  2. 5.4. Стоимость воспроизводства и плата за природные ресурсы
  3. 5.3. Сравнительная экономическая оценка природных ресурсов
  4. 5.2. Абсолютная и экономическая оценки
  5. 5. ЭКОНОМИЧЕСКАЯ ОЦЕНКА ПРИРОДНЫХ РЕСУРСОВ
  6. 5.1. Содержание экономической оценки
  7. 4.3. Основные направления научно-технического прогресса и их влияние на охрану окружающей среды и рациональное природопользование
  8. 4.2. Оценка ущерба от загрязнения окружающей среды
  9. 4. ПРИРОДОПОЛЬЗОВАНИЕ И НАУЧНО-ТЕХНИЧЕСКИЙ ПРОГРЕСС
  10. 4.1. О критерии решения экологических проблем
  11. 3.5. Сочетание требования экологизации производственных процессов с требованиями экономического роста отраслей народного хозяйства
  12. 3.2. Возобновимые и невозобновимые ресурсы. Проблемы истощения. Основные пути предотвращения истощения природных ресурсов
  13. 3.3. Основные признаки естественных ресурсов, их классификация, как экономической категории