硬盘隐藏区域及安全功能的访问与管理
1. 硬盘SMART日志相关信息
硬盘存在一些特定的SMART日志代码,不同代码代表不同的含义,如下表所示:
| 代码 | 数量 | 其他信息 | 含义 |
| — | — | — | — |
| 0x000f | 2 | 0 | 主机到设备数据FIS的R_ERR响应,CRC校验 |
| 0x0012 | 2 | 0 | 主机到设备非数据FIS的R_ERR响应,CRC校验 |
| 0x8000 | 4 | 14532 | 厂商特定 |
不同硬盘厂商可能存在其他SMART日志,可查阅smartctl(8)手册页获取关于附加标志和查询的更多信息。
2. 启用对隐藏扇区的访问
在硬盘分析中,处理主机保护区域(HPA)和设备配置覆盖(DCO)通常是成像过程的一部分。不过,这里将检测和移除HPA/DCO作为准备过程,而非实际成像的一部分。一旦这些隐藏区域变得可访问,对它们进行成像并没有特殊技术要求,它们只是受驱动器配置参数保护的磁盘扇区。移除HPA或DCO会修改驱动器的配置,但不会修改其内容。
2.1 移除DCO
DCO的出现是为了让PC系统制造商使不同的驱动器型号看起来具有相同的功能。通过DCO,某些功能可以被禁用,驱动器的容量(可用扇区数)也可以减少以满足厂商的要求。在分析可疑驱动器时,识别和移除DCO是标准的取证实践。
可以使用两个hdparm命令来确定DCO是否存在并获取可用的实际扇区数:
- 第一个命令用于确定驱动器是否启用了DCO
