Host Protected Area

Host Protected Area

Host Protected Area (HPA), auch bekannt als Hidden Protected Area oder ATA-geschützter Bereich, ist ein reservierter Bereich für die Speicherung von Daten außerhalb des normalen Dateisystems. Dieser Bereich wird vor dem Dateisystem und dem Betriebssystem - und somit auch vor Formatierungs- und Partitionierungsprogrammen - versteckt und ist für diese nicht erreichbar.

Inhaltsverzeichnis

Verwendungszwecke

Verwendungszwecke für HPA sind vor allem die Systemwiederherstellung und die Sicherung von Konfigurationsdaten. So kann beispielsweise der Original-Inhalt einer Systeminstallation in einem geschützten Bereich auf der Festplatte abgelegt und bei einer Wiederherstellung in den regulären Bereich der Festplatte zurückkopiert werden.

HPA ist ein optionales Festplatten-Merkmal, das im ATA-4-Standard definiert ist und von den meisten modernen Festplatten unterstützt wird.

Mittels HPA kann eine HPA-fähige Festplatte so manipuliert werden, dass sie kleiner erscheint als sie tatsächlich ist. HPA ermöglicht es, einen oberen Bereich der Festplatte zu verstecken.

HPA-relevante ATA-Befehle

a) IDENTIFY_DEVICE
Der ATA-Befehl IDENTIFY_DEVICE, der üblicherweise bei der Hardwareerkennung des Betriebssystems aufgerufen wird, gibt die Kapazität einer Festplatte zurück.

b) SET_MAX_ADDRESS
Der ATA-Befehl SET_MAX_ADDRESS wird verwendet, um die Festplatte kleiner erscheinen zu lassen, als sie tatsächlich ist. Der Befehl kann sowohl im flüchtigen (volatile) als auch im nicht-flüchtigen (non-volatile) Modus ausgeführt werden. Im nicht-flüchtigen (non-volatile) Modus bleibt die neue Maximalgröße dauerhaft - also auch nach einem Ausschalten der Festplatte - erhalten, während im flüchtigen (volatile) Modus die Größe nur vorübergehend, d.h. bis zum nächsten Reset, verändert wird. Über den ATA-Befehl SET_MAX_ADDRESS wird der Festplatte also mitgeteilt, welche Kapazität sie beim Befehl IDENTIFY_DEVICE melden soll.

c) READ_NATIVE_MAX_ADDRESS
Der ATA-Befehl READ_NATIVE_MAX_ADDRESS zeigt immer die maximale obere Sektoradresse an, indem er die höchste Adresse gemäß der Werkseinstellung - also die tatsächliche Größe - ausliest.

Durch den Vergleich der Ausgaben der Befehle IDENTIFY_DEVICE und READ_NATIVE_MAX_ADDRESS lässt sich ermitteln, ob HPA vorhanden bzw. aktiviert ist. Wenn die beiden Befehle unterschiedliche Größen anzeigen, dann ist die Festplatte irgendwann zuvor mit dem Befehl SET_MAX_ADDRESS "verkleinert" worden.

Durch erneute Ausführung des Befehls SET_MAX_ADDRESS kann die Festplattengröße wieder auf die Werkseinstellung zurückgesetzt werden. Dann kann wieder auf die gesamte Festplatte zugegriffen werden, d.h. die Festplatte hat wieder ihre volle Kapazität.

Computer-Forensik

Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann.

Manipulieren und Löschen von Datenträgern

Auch für den Anwender kann die HPA von großer Bedeutung sein, besonders wenn er die Daten auf der Festplatte durch vollständiges Überschreiben komplett löschen möchte.

Aktuelle Linux-Kernel setzen grundsätzlich eine beim Booten detektierte HPA temporär zurück (deaktivieren diese), sodass der Kernel (und damit der Administrator) auf alle Sektoren bis zur nativen Maximaladresse zugreifen kann. Beispielsweise:

...
hda: Host Protected Area detected.
        current capacity is 109170031 sectors (55895 MB)
        native  capacity is 117210240 sectors (60011 MB)
hda: Host Protected Area disabled.
hda: 117210240 sectors (60011 MB) w/7877KB Cache, CHS=65535/16/63, UDMA(100)
...

Wenn der Kernel die HPA zurücksetzt, können Tools wie der Unix-Befehl dd, der gerne zum Löschen von Datenträgern mittels kompletten Überschreiben der Festplatte mit Nullen oder zufälligen Zahlen verwendet wird, die HPA auch überschreiben. Bei Verwendung eines älteren Kernels, wie zum Beispiel bei der bekannten Live-CD DBAN (Version 1.0.4), wird die HPA nicht gelöscht[1], sondern nur der sichtbare Teil der Festplatte.

Siehe auch

Device Configuration Overlay (DCO) ATA Security Feature Set (ATA Security Mode Feature Set)

Weblinks

HDAT2 (mächtiges Konfigurationstool für DOS, siehe Anleitungen) http://www.hdat2.com

Post-mortem-Analyse von Filesystemen unter Linux http://www.heise.de/ix/artikel/2006/03/038/

Computer Forensics and the ATA Interface http://www.foi.se/upload/rapporter/foi-computer-forensics.pdf

Detecting Host Protected Areas (HPA) in Linux http://www.sleuthkit.org/informer/sleuthkit-informer-17.html#hpa

Removing Host Protected Areas (HPA) in Linux (disk_sreset Tool) http://www.sleuthkit.org/informer/sleuthkit-informer-20.txt

Einzelnachweise

  1. Does DBAN wipe the Host Protected Area ("HPA")? In: Darik's Boot And Nuke: Dokumentation. 18. Juli 2008, abgerufen am 28. Oktober 2011 (englisch).

Wikimedia Foundation.

Игры ⚽ Поможем решить контрольную работу

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Host Protected Area — Host Protected Area, sometimes referred to as Hidden Protected Area [ [http://www.thinkwiki.org/wiki/Hidden Protected Area Hidden Protected Area ThinkWiki ] ] , is an area of a hard drive that is not normally visible to an operating system(OS).… …   Wikipedia

  • Host protected area — (HPA), иногда расшифровывают как hidden protected area[1] это область жесткого диска, которая не видна в операционной системе (ОС). Может быть выделена средствами BIOS некоторых материнских плат или специального программного обеспечения. В этой… …   Википедия

  • Protected areas of West Bengal — cover 4% of the state area.cite web url = http://www.indiainbusiness.nic.in/indian states/westbengal/General.htm title = West Bengal: General Information accessdate = 2006 08 25 work = India in Business publisher = Federation of Indian Chambers… …   Wikipedia

  • Protected areas of Tamil Nadu — Location map+|Tamil Nadu|width=300|float=right|caption=Protected areas of Tamil Nadu class= infobox bordered style= width: ; text align: center; font size: 40%; border:; places= Location map |Tamil Nadu|lat deg=13|lat min=.9|lon deg=80|lon min=14 …   Wikipedia

  • Area 51 — This article is about the U.S. Air Force installation in Nevada. For other uses, see Area 51 (disambiguation). Area 51 …   Wikipedia

  • Duxbury Reef State Marine Conservation Area — (SMCA) is a marine protected area located about 1 mile (2 km) west of Bolinas in Marin County on California’s north central coast. This marine protected area covers 0.66 square miles (1.7 km2). Duxbury Reef SMCA prohibits the take of all… …   Wikipedia

  • Driftless Area — Relief map showing primarily the Minnesota part of the Driftless Area. The wide diagonal river is the Upper Mississippi River. In this area, it forms the boundary between Minnesota and Wisconsin. The rivers entering the Mississippi from the west… …   Wikipedia

  • Red Rock Canyon National Conservation Area — This article is about the National Conservation Area in Nevada. For other uses, see Red Rock Canyon. Red Rock Canyon National Conservation Area in Nevada is a 198,000 acre (801 km²) area managed by the Bureau of Land Management as part of its… …   Wikipedia

  • Mockhorn Island Wildlife Management Area — is a protected area located in Northampton County, Virginia. Its two tracts, totaling over 7,000 acres (28 km2) in size, cover tidal marshland on two barrier islands along the Atlantic coast of the Eastern Shore of Virginia. Much of the… …   Wikipedia

  • Metamora-Hadley Recreation Area — Metamora Hadley State Recreation Area …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”