Область НРА


Защищенной областью НРА (Host Protected Area) называется специальная область диска, предназначенная для сохранения данных и невидимая для постороннего наблюдателя. Размер этой области задается командами АТА. Для большинства дисков по умолчанию он равен 0.
Поддержка НРА появилась в АТА-4. Она предназначалась для того, чтобы производитель компьютера мог сохранить данные, которые не терялись бы при форматировании жесткого диска пользователем и стирании его содержимого. НРА находится в конце диска, а обращение к ее содержимому возможно лишь в результате изменения конфигурации жесткого диска.
Рассмотрим процесс резервирования НРА более подробно, на уровне команд АТА. Некоторые из используемых команд существуют в двух версиях в зависимости от размера диска, но я буду приводить только одну версию. Первые две команды возвращают максимальный номер адресуемого сектора; если возвращаемые значения различаются, значит, на диске существует область НРА. Команда READ_NATIVE_ MAX_ADDRESS возвращает максимальный физический адрес, а команда IDENTIFY_DEVICE возвращает количество секторов, доступных для пользователя. Следовательно, при наличии НРА READ_NATIVE_MAX_ADDRESS вернет фактический конец диска, тогда как IDENTIFY_DEVICE вернет конец пользовательской области (и начало НРА). Обратите внимание: как будет показано в следующем разделе, команда READ_NATIVE_MAX_ADDRESS не всегда возвращает последний физический адрес диска.
При создании НРА команда SET_MAX_ADDRESS задает максимальный адрес, доступный для пользователя. Если потребуется отказаться от использования НРА, команда SET_MAX_ADDRESS выполняется заново с фактическим максимальным размером диска, возвращаемым командой READ_NATIVE_MAX_ADDRESS.
Например, если объем диска составляет 20 Гбайт, READ_NATIVE_MAX_ADDRESS возвращает количество секторов для 20 Гбайт (скажем, 41 943 040). Чтобы создать защищенную область НРА объемом 1 Гбайт, следует выполнить команду SET_MAX_ADDRESS с адресом 39 845 888. Любые попытки чтения или записи в последние 2 097 152 сектора (1 Гбайт) приводят к ошибке, а команда IDENTIFY_DEVICE возвращает максимальный адрес 39 845 888 (рис. 2.12). Чтобы снять защиту с НРА, следует снова выполнить команду SET_MAX_ADDRESS с полным количеством секторов.
Среди параметров команды SET_MAX_ADDRESS присутствует «бит устойчивости». Если он установлен, то НРА продолжает существовать после сброса жесткого диска или отключения питания. В спецификации АТА также присутствуют команды блокировки, которые запрещают модификацию максимального адреса до следующего сброса. Это позволяет BIOS прочитать или записать данные в защищенную область при включении питания, задать размер защищенной области так,
1 Эти программы чаще всего встречаются на веб-сайтах, посвященных модификации игровых приставок — например, http//www.xbox-scene.com/tools/tools.php?page=harddrive.

чтобы данные оставались невидимыми для пользователя, и заблокировать область для предотвращения ее изменений. При этом даже может использоваться пароль (отличный от пароля для доступа к диску).
О              19              20
GB              GB              GB

Секторы, адресуемые пользователем

НРА

А


IDENTIFY.DEVICE


READ_NATIVE_MAX_ADDRESS

Рис. 2.12. Диск объемом 20 Гбайт с 1-гигабайтной защищенной областью НРА


Подведем итог: жесткий диск может содержать защищенную область НРА с системными файлами или скрытой информацией (а возможно, и тем и другим). Присутствие защищенной области выявляется сравнением результатов двух команд АТА. Для удаления защищенной области следует сбросить ограничение максимального пользовательского адреса жесткого диска, но бит устойчивости позволяет внести временные изменения.

DCO
Помимо НРА для скрытия данных также может применяться механизм DCO (Device Configuration Overlay), поддержка которого была добавлена в АТА-6. DCO ограничивает доступ к некоторым функциям жесткого диска. В каждой спецификации АТА указываются дополнительные возможности, реализация которых жестким диском не является обязательной. Для определения набора возможностей, фактически поддерживаемых жестким диском, используется команда IDENTIFY_DEVICE. Под воздействием DCO команда IDENTIFY_DEVICE сообщает о том, что некоторые поддерживаемые возможности якобы не поддерживаются, и выдает размер диска меньше фактического.
Рассмотрим некоторые команды DCO. Команда DEVICE_CONFIGURATION_IDENTIFY возвращает информацию о возможностях диска и его размере. Следовательно, для обнаружения вмешательства DCO следует сравнить вывод команд DEVICE_C0NFI- GURATION.IDENTIFY и IDENTIFY.DEVICE. Напомню, что команда READ_NATIVE_MAX_AD- DRESS возвращает полный размер диска (вместе с НРА). Сравнив результат READ_NATIVE_MAX_ADDRESS с результатом DEVICE_CONFIGURATION_IDENTIFY, можно обнаружить присутствие секторов, скрытых DCO.
Допустим, имеется 20-гигабайтный жесткий диск, в котором механизм DCO установил максимальный адрес 19 Гбайт. Команды READ_NATIVE_MAX_ADDRESS и IDENTIFY_DEVICE указывают, что размер диска равен только 19 Гбайт. Если на диске также создается НРА размером 1 Гбайт, команда IDENTIFY_DEVICE покажет, что размер диска составляет всего 18 Гбайт (рис. 2.13).
Для создания или изменения скрытой области DCO применяется команда DEVICE_CONFIGURATION_SET, а для ее удаления — команда DEVICE_C0NFIGURATI0N_RE- SET. В отличие от НРА, не существует возможности внести изменения только на время текущего сеанса. Все изменения DCO являются устойчивыми, сохраняются при сбросе и отключении питания.

18              19              20
GB              GB              GB

Секторы, адресуемые пользователем

НРА

DCO

к

i i

i A

IDENTIFYJDEVICE



READ_NATIVE_MAX_ADDRESS


DEVICE.CONFIGURATIONJDENTIFY

Рис. 2.13. DCO создает скрытые секторы в конце диска (помимо секторов, скрытых НРА)


Serial АТА
У устройств АТА имеются свои недостатки. Их кабели слишком велики, недостаточно гибки, а разъемы часто оказываются совсем не там, где они нужны. Кроме того, перемычки «ведущий/ведомый» усложняют конфигурацию жестких дисков. Кабели и скорость передачи данных стали некоторыми причинами для разработки интерфейса Serial АТА, включенного в спецификацию АТА-7.
Интерфейс называется «последовательным» (Serial), потому что в любой момент времени между контроллером и диском передается только один бит информации — в отличие от 16 битов исходного интерфейса «параллельного АТА». Разъемы Serial АТА примерно в четыре раза меньше разъемов параллельного АТА и содержат только семь контактов. Каждое устройство Serial АТА подключается к контроллеру напрямую, подключение «гирляндой» не поддерживается.
Интерфейс Serial АТА проектировался таким образом, чтобы после установки нового контроллера компьютер не отличал новое устройство Serial АТА от исходных (параллельных) устройств АТА. Более того, регистры контроллера Serial АТА создают у компьютера «иллюзию», будто он взаимодействует с параллельным диском АТА. С точки зрения компьютера каждый диск, подключенный к контроллеру Serial АТА, работает как ведущий (master) диск на отдельном канале.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Область НРА:

  1. НРА
  2. СКЛАДЧАТЫЕ ОБЛАСТИ Северо-атлантическая область
  3. 10 . 4 . PR-образование и проблемы обучения PR как междисциплинарной области науки и практики PR как область научного знания
  4. Свердловская область
  5. ГЕОСИНКЛИНАЛЬНЫЕ ОБЛАСТИ
  6. СКЛАДЧАТЫЕ ОБЛАСТИ
  7. АНДИИСКАЯ ОБЛАСТЬ
  8. ВЕРХОЯНО-ЧУКОТСКАЯ ОБЛАСТЬ
  9. § 1. ОСНОВНЫЕ СТРУКТУРНЫЕ ОБЛАСТИ
  10. § 2. ОБЛАСТИ МОРЯ И МОРСКОГО ДНА
  11. АЗИАТСКАЯ ГЕОСИНКЛИНАЛЬНАЯ ОБЛАСТЬ
  12. § 7. СТРОЕНИЕ И СОСТАВ МЕЛА ГЕОСИНКЛИНАЛЬНЫХ ОБЛАСТЕЙ
  13. § 9. СТРОЕНИЕ II СОСТАВ ПЕРМИ ГЕОСИНКЛИНАЛЬНЫХ ОБЛАСТЕЙ
  14. Пещеры карстовых областей
  15. Столицы, губернии, области