К защищённой области жёсткого диска (Host Protected Area), которая зарезервирована в стандарте ATA для файлов конфигураций, резервных копий и т.д., обычный пользователь не должен иметь доступа. Но, как известно, правонарушителей редко останавливают какие-то ограничения и запреты, так что компьютерные профессионалы должны знать, как искать в HPA скрытые данные.
При анализе компьютеров или автономных носителей информации, связанных с какими-либо правонарушениями, следователи должны внимательно изучить все имеющиеся на дисках данные - эту задачу оказывается не всегда легко выполнить, поскольку в носителях информации существуют области, где можно надёжно скрывать файлы от глаз посторонних. Одно из таких мест Host Protected Area (HPA). Это специальная область, распологающаяся в конце жестких дисков ATA/SATA, которая может состоять из любого количества секторов. Её главная особенность заключается в том, что HPA скрыта от операционной системы и поэтому надёжно защищена от случайного удаления, форматирования или разметки разделов. Документация стандарта ATA/ATAPI-4, в котором впервые была введена эта функция, сообщает, что HPA была задумана в частности, для хранения настроек конфигурации.
Сегодня HPA применяется в некоторых ноутбуках (например, на лептопах VAIO от Sony) в качестве “спасательной” области, из которой при загрузке компьютера нажатием определённой комбинации клавишь запускается приложение для востановления или повторной установки операционной системы и предустановленых приложений. Кроме того, существуют программы востановления (например, Phoenix FirstWare Recover Pro), которые создают HPA и сохраняют в ней резервные копии данных.
Чтобы при следственных эксперементах оригинальный носитель не претерпел никаких изменений, компьютерные криминалисты проводят все действия только на побитово скопированном образе исследуемого жёсткого диска. Создание таких файлов-образов производится, как правило, с помощью аппаратных систем и Linux-команды
dd(dd_rescue,dcfldd,sdd)или распостранённых программных инструментов (AccessData FTK Imager, Guidance EnCase, Guidance LinEn, X-Ways Replica) и т.д.
Было бы логично предположить, что все эти инструменты распознают существующую область HPA, если она есть на диске, и учитывают её при резервном копировании. однако из-за действия нескольких специфических факторов так, к сожалению, бывает далеко не всегда. Здесь решающую роль играют: интерфейс жёсткого диска (ATA/SATA), тип защиты от записи и мост: ATA на USB, ATA на SCSI или ATA на Firewire.
Обычные мосты перечисленные выше, не передают на подключённый жёсткий диск команды ATA, необходимые для доступа к HPA, поэтому, вопреки обещаниям производителей, программы безопасности не могут распознавать и деактивировать существующую область HPA. Хранящиеся в ней данные можно копировать вместе с остальным содержимым жесткого диска только в том случае, когда винчестер получает релевантные команды ATA, а это, в свою очередь, означает, что диск HDD должен быть подключён напрямую по интерфейсу ATA, через мост или посредством системы аппаратной защиты от записи, которые располагают функцией временной деактивации зоны HPA.
Прежде чем перейти к копированию данных из Host Protected Area, необходимо убедиться втом, что она вообще существует на HDD. Это можно сделать, сравнивая общее количество секторов жесткого диска с тем числом, которое программа предлагает для копирования. Если копирование производится под операционной системой Linux и речь идёт о жестких дисках ATA, полезно будет заглянуть в информацию о статусе ядра с помощью команды «dmesg»:
hda: Host Protected Area detected.
current capacity is 77091584 ↓
sectors (39470MB)
native capacity is 78140160 ↓
sectors (40007MB)
hda: Host Protected Area dislbled.
Когда при копировании данных компьютерный следопыт пользуется системами аппаратной защиты от записи производства компании Tableau, распознать HPA ему поможет утелита Tableau Disk Monitor версии 1.1 (см. скриншоты). Все разновидности этих устройств (T5, T3u, T345 Ultrabay, T14 - с прошивками от 09.07.2007) надёжно деактивируют HPA на жестких дисках ATA и SATA, причем независимо от применяемой для копирования операционной системы.
Зачем выбирать сложный путь, если цели можно достигнуть простым путём ? Известно, что гораздо удобнее скрывать данные с помощью технологий шифрования, например, с помощью свободно распростроняемой программы Truecrypt. Однако применение такой утелиты выглядит доаольно необычно и способно вызвать подозрения, а то и просто спортивный интерес компьютерных криминалистов. И совсем другое дело - использование мошенниками HPA. В этом случае всегда существует возможность того, что данная область диска останется незамеченной.
То обстоятельство что Linux не распознаёт HPA на жестких дисках ATA, делает этот метод особенно привлекательным. Но всё же запись в таблице разделов будет выглядеть слишком странно, поэтому тот, кто не хочет вызвать подозрений, должен избавиться от неё с помощью следующего трюка:
losetup -o39470899200 -s ↓
536832000 /dev/loop0 ↓
/dev/hda
mkfs.ext3 /dev/loop0
mount /dev/loop0 /mnt/secret
Следователям, в любом случае рекомендуется работать с системой защиты от записи, которая может распознавать и временно деактивировать существующую область HPA. Если такого устройства у вас нет, копирование HPA заметно усложняется. В этом случае в качестве криминалистического инструмента для жестких HDD-ATA рекомендуется использовать загрузочный Linux-CD «Helix».
Для дисков SATA следует пользоваться криминалистическими загрузочными дискетами или CD-дисками на базе DOS, которые позволяют применить, например, утилиту X-Ways Replica. Можно выбрать и такой инструмент, как HDAT2, однако ведущий раследование должен сначала убедиться, чтр это приложение работает корректно.
Итак, HPA можно не заметить только в том случае, если следователь намеренно не обратит внимания эту область. Доводы типа «кто же станет её использовать ?» или «шифровать гораздо удобнее» не отменяют того очевидного факта, что создать и использовать HPA очень просто. Злонамеренное использование технологии HPA составляет определённый класс преступлений, обнаружить которые можно только методами специального контроля, а без помощи профессионалов - практически невозможно. Поиск областей HPA должен обязательно входить в число стандартных следственных мероприятий при совершении компьютерных правонарушений.