هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

المساحة المخفية في القرص الصلب Host Protected Area

يوجد هناك مساحة صغيرة مخفية تأتي مع القرص الصلب ( الهارد ديسك) بشكل افتراضي من قبل المصنع. هذه المساحة تسمى بـ Host Protected Area ايضا أحيانا يتم الإشارة أليها بـ Hidden Protected area. يتم اقتطاع هذه المساحة من المساحة الكلية للقرص بالتحديد نهاية القرص ولا يمكن للمستخدم الوصول الى هذه المساحة او استخدامها حيث انها غير مقروءة من قبل نظام التشغيل. هذه المساحة يتم استغلالها من قبل الشركات المنتجة للقرص او اللابتوب حيث يتم أضافه ادوات مفيده لصيانة القرص او لبيانات الاستعادة الخاص بنظام التشغيل او برامج تأتي بشكل افتراضي مع الجهاز، على سبيل المثال شركة Dell استخدمت المساحة لتخزين برنامج Dell MediaDirect في الجهاز، ايضا IBM و LG استخدموا المساحة لتخزين بعض برامج استعادة النظام.

هذه المساحة مفيدة جدا لتخزين معلومات لا تتأثر بفورمات نظام التشغيل او مسح القرص الصلب بالكامل. للأسف يتم استخدام هذه المساحه بشكل كبير جدا لتخزين ملفات خبيثه او معلومات من قبل المجرمين. لذلك هذه المساحة من القرص الصلب قيمه ومهمة اثناء التحقيق الجنائي الرقمي حيث ان المحقق الجنائي الرقمي يقوم بالتحقق من وجود هذه المساحة وارفاقها اثناء اخذ صوره من القرص الصلب للتحقيق. جهاز Disk Jockey PRO Forensic Edition يستطيع نسخ هذه المساحة ايضا القواعد الإرشادية (guidelines) التي يتبعها المحقق الجنائي تنص على انه يجب التأكد من وجود هذه المساحة وتوثيق هذه المعلومات.

ذكرت بأنه لا يمكن للمستخدم او نظام التشغيل ان يصل الى هذه المساحه فيكف يتم استغلالها بشكل سلبي من قبل المجرمين او الملفات الخبيثة. في الحقيقه لا يمكن الوصول هذه المساحه بشكل افتراضي، فعلى سبيل المثال القرص الصلب يتكون من مجموعة من الsectors التي تحدد مساحه القرص الصلب الكلية. فعلى سبيل المثال اذا كان لدينا قرص صلب يحتوي على 1000 جزء فمساحه القرص تبدا من الجزء رقم صفر الى الجزء رقم 1000. ولكن يتم اقتطاع مساحه في نهائيه القرص حيث يتم اخبار نظام التشغيل بان المساحه تبدا من الجزء رقم صفر وتنتهي ب900  ويتم استخدام 100 جزء (sector) للمساحه المخفية. لكي يعرف نظام التشغيل بدايه ونهاية القرص يقوم بقراءة بعض القيم التي تُخزن في بعض الـ Registers ومن خلال هذه القيم يحدد مساحه القرص ويتعامل مع القرص على هذا الاساس. يمكن الوصول الى هذه القيم عن طريق ادوات متخصصه تقوم بإرسال القيم الجديدة الى هذه الـ Registers. بعض هذه القيم غير قابل للتعديل والبعض قابل للتعديل بحيث انه يمكن التلاعب بهذه الاعدادات ولكن القيم سوف تعود ولكن بعد الوصول الى هذه المساحة.

الاوامر التي يمكن استخدامها مع الأدوات والتي تعتبر جزء من بروتوكول ATA الخاص بأقراص التخزين

  • IDENTIFY DEVICE
  • SET MAX ADDRESS
  • READ NATIVE MAX ADDRESS

من خلال هذه الاوامر يتم تغيير قيم الـRegisters ونتيجة الى ذلك يتعرف نظام التشغيل على مساحه القرص الغير صحيحه. لا اعرف لماذا تم ارفاق هذه الأوامر في بروتوكول التخزين والسماح بتعديل القيم، ربما القضية قانونية بحيث اذا اراد المستخدم ازاله ما يتم ارفاقه مع القرص او اسباب تطويرية.

من وجهة نظر التحقيق الجنائي، هذه المساحه مهمه جدا لذلك هناك اداوات تستطيع التعرف اذا ماكانت المساحة موجوده مثل:

ايضا هذه مجموعه من المصادر المفيدة لمعرفه التفاصيل الخاصة بحساب القيم في الـ Registers وتحديد مساحه القرص الصب

ورقة بحثيه : Hidden Disk Areas: HPA and DCO 

ويكيبديا : Host protected area

مقالة عملية عن التعامل مع المساحة المخفية في لينكس

Hidden Protected Area

لا يوجد تعليقات على هذه المقالة

اضف تعليق