호스트 보호 영역

Host Protected Area(HPA; 호스트 보호 영역)는 운영 체제에서 일반적으로 볼 수 없는 하드 드라이브 또는 솔리드 스테이트 드라이브의 영역입니다.2001년 ^[1]ATA-4 표준 CXV(T13)에 처음 도입되었습니다.

구조

IDE 컨트롤러에는 ATA 명령을 사용하여 쿼리할 수 있는 데이터가 포함된 레지스터가 있습니다.반환되는 데이터는 컨트롤러에 연결된 드라이브에 대한 정보를 제공합니다.호스트 보호 영역의 작성 및 사용에는, 3개의 ATA 커맨드가 있습니다.명령어는 다음과 같습니다.

• 식별 장치
• 최대 주소 설정
• 네이티브 최대 주소 읽기

operating system에서는, IDENTY DEVICE 커맨드를 사용하고, 하드 드라이브의 주소 지정 가능한 공간을 확인합니다.IDENTY DEVICE 명령은 IDE 컨트롤러의 특정 레지스터를 쿼리하여 드라이브 크기를 설정합니다.

그러나 이 레지스터는 SET MAX ADDRESS ATA 명령을 사용하여 변경할 수 있습니다.레지스터내의 값이 실제의 하드 드라이브 사이즈보다 작게 설정되어 있는 경우는, 사실상 호스트 보호 영역이 작성됩니다.OS는 IDENTY DEVICE 명령에 의해 반환되는 레지스터의 값만 사용하여 작동하기 때문에 일반적으로 HPA 내에 있는 드라이브의 일부에 주소를 지정할 수 없기 때문에 보호됩니다.

HPA는 다른 소프트웨어 또는 펌웨어(BIOS 또는 UEFI 등)에서 사용할 수 있는 경우에만 유용합니다.HPA를 사용할 수 있는 소프트웨어 및 펌웨어를 'HPA 인식'이라고 합니다.이러한 엔티티가 사용하는 ATA 명령어는 READ NATIVE MAX ADDRESS라고 불립니다.이 명령어는 하드 드라이브의 실제 크기를 포함하는 레지스터에 액세스합니다.영역을 사용하기 위해 제어 HPA 인식 프로그램은 IDENTY DEVICE에서 읽은 레지스터 값을 READ NATIVE MAX ADDRESS에서 읽은 레지스터 값으로 변경합니다.조작이 완료되면 IDENTY DEVICE에 의해 판독된 레지스터는 원래의 가짜 값으로 돌아갑니다.

사용

이 섹션은 확인을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.(2016년 11월) (이 템플릿메시지 삭제 방법 및 삭제 시기 확인)

• HPA가 하드디스크 펌웨어에 처음 구현되었을 때 일부 BIOS는 대용량 하드디스크에서 부팅하는 데 어려움을 겪었습니다.그런 다음 초기 HPA를 설정하여(하드디스크 상의 일부 점퍼에 의해) 실린더 수를 4095 또는 4096으로 제한하고 오래된 BIOS를 시작할 수 있습니다.그 후 HPA를 리셋하여 운영체제에 하드디스크 저장공간이 모두 표시되도록 하는 것이 부트 로더의 작업입니다.
• HPA는 다양한 부팅 및 진단 유틸리티에서 사용할 수 있습니다.일반적으로 BIOS와 함께 사용합니다.이 구현의 예로는 Phoenix FirstB가 있습니다.Boot Engineering Extension Record(BEER) 및 Protected Area Run Time Interface Extension Services(PARTIES)를 사용하는 IOS.^[2]또 다른 예로는 BEER에 부트로더를 설치할 수 있는 Gujin instra를 들 수 있습니다.이 instra는 유사 파티션 /dev/hda0 또는 /dev/sdb0이라는 이름을 붙입니다.이 경우 (전원 다운에서) 콜드부트만 성공합니다.이것은 (Control-Alt-Delete에서) 웜부트가 HPA를 읽을 수 없기 때문입니다.
• 컴퓨터의 제조원은, 인스톨이나 리커버리 목적으로(DVD 나 CD 미디어를 제공하는 대신에) 프리 로드된 OS 를 사용하는 경우가 있습니다.
• Dell 노트북은 HPA에서 Dell Media Direct 유틸리티를 숨깁니다.IBM ThinkPad 및 LG 노트북은 HPA에서 시스템 복원 소프트웨어를 숨깁니다.
• HPA는 다양한 도난 회수 및 감시 서비스 벤더에서도 사용되고 있습니다.예를 들어, 노트북 보안 회사인 CompuTrace는 HPA를 사용하여 네트워크에서 컴퓨터가 부팅될 때마다 서버에 보고하는 소프트웨어를 로드합니다.도난당한 노트북의 하드 드라이브가 포맷되어 있어도 HPA는 그대로 있기 때문에 HPA가 도움이 됩니다.
• 또한 HPA는 불법으로 간주되어 정부 및 경찰 컴퓨터 포렌식 ^[3]팀이 관심을 갖는 데이터를 저장하는 데도 사용할 수 있습니다.
• 일부 벤더 고유의 외장 드라이브 인클로저 (Maxtor, 2006년 이후 Seagate 소유 등)는 HPA를 사용하여 인클로저에 장착되어 있는 알 수 없는 교체용 하드 드라이브의 용량을 제한하는 것으로 알려져 있습니다.이 경우, 드라이브의 사이즈가 제한되고 있는 것처럼 보일 수 있습니다(예: 128 GB). BIOS 또는 DDO(Dynamic Drive Overlay)의 문제처럼 보일 수 있습니다.이 경우 READ NATIVE MAX ADDRESS 및 SET MAX ADDRESS를 사용하는 소프트웨어 유틸리티(아래 참조)를 사용하여 보고된 드라이브 크기를 원래 크기로 되돌리고 해당 드라이브에서 외장 인클로저를 다시 사용하지 않도록 해야 합니다.
• 일부 루트킷은 안티 루트킷 ^[2]및 안티바이러스소프트웨어에 의해 검출되지 않도록 HPA에 숨깁니다.
• 일부 NSA 부정 이용은 응용 프로그램의 지속성을 위해 HPA를^[4] 사용합니다.

식별 및 조작

하드 드라이브상의 HPA는, 다양한 툴과 방법으로 식별할 수 있습니다.

HPA 기능은 DCO 명령(HPA를 사용하지 않는 경우에만 문서 상태)에 의해 숨겨질 수 있으며, "frozen"(하드 디스크의 다음 전원 차단 시까지) 또는 암호로 보호될 수 있습니다.

식별 도구

• 데이터 시너지의 ATA Tool
• Brian Carrier의 Sleuth Kit(무료, 오픈 소프트웨어) (HPA 식별은 현재 Linux 전용)
• EnCase by Guidance 소프트웨어
• 액세스 데이터에 의한 포렌식 툴킷

식별 방법

Windows 프로그램 ATATool은 HPA를 검출할 수 있습니다.예를 들어 첫 번째 디스크에 HPA가 있는지 확인하려면 다음 명령을 사용합니다.

ATATOOL / INFO \\.\Physical Drive0

리눅스를 사용하면 다양한 방법으로 HPA의 존재를 탐지할 수 있습니다.최신 버전의 Linux에서는 HPA가 검출되면 시스템 부팅 시 메시지가 출력됩니다.예를 들어 다음과 같습니다.

dmesg less [...]hdb: 호스트 보호 영역이 검출되었습니다.현재 용량은 12000 섹터(6MB), 비압축 용량은 120103200 섹터(61492MB)입니다.

프로그램 hdparm(버전 8.0 이상)은 다음 매개 변수를 사용하여 sdX 드라이브의 HPA를 검색합니다.

hdparm - N / dev / sdX

hdparm 버전이 8 미만인 경우, 'hdparm -I'에서 출력되는 섹터 수와 하드 드라이브 모델의 공개된 통계에 대해 보고된 섹터 수를 비교할 수 있습니다.

조작 방법

Windows 프로그램 ATATool을 사용하여 HPA를 생성할 수 있습니다.예를 들어 10GB HPA를 작성하려면 다음 절차를 수행합니다.

ATATOOL / 비휘발성 HPA / SEThPA : 10GB \ \\Physical Drive 1

Linux 프로그램 hdparm(버전 > = 8.0)은 다음 매개 변수를 사용하여 호출하면 HPA를 생성합니다(sdX: 대상 드라이브, #: 비 HPA 표시 섹터 수).

hdparm - N p# / dev / sdX

「 」를 참조해 주세요.

• 디바이스 컨피규레이션오버레이(DCO)
• GUID 파티션 테이블(GPT)
• 마스터 부트 레코드(MBR)

레퍼런스

외부 링크

• 슬루트 키트
• 국제 디지털 증거 저널
• 더블린 시티 대학교 보안 및 법의학 위키
• ThinkPad 사용자를 위한 Wiki 웹