La superposición de configuración de dispositivos ( DCO ) es un área oculta en muchas de las unidades de disco duro (HDD) actuales . Por lo general, cuando la información se almacena en el DCO o en el área protegida del host (HPA), el BIOS (o UEFI ), el sistema operativo no puede acceder a ella, o el usuario. Sin embargo, se pueden utilizar ciertas herramientas para modificar el HPA o el DCO. El sistema utiliza el comando IDENTIFY_DEVICE para determinar las funciones compatibles de un disco duro determinado, pero el DCO puede informar a este comando que las funciones compatibles no existen o que la unidad es más pequeña de lo que realmente es. Para determinar el tamaño real y las características de un disco, se usa el comando DEVICE_CONFIGURATION_IDENTIFY, y la salida de este comando se puede comparar con la salida de IDENTIFY_DEVICE para ver si un DCO está presente en un disco duro dado. La mayoría de las herramientas principales eliminarán el DCO para obtener una imagen completa de un disco duro, utilizando el comando DEVICE_CONFIGURATION_RESET. Esto altera permanentemente el disco, a diferencia del área protegida del host (HPA), que se puede quitar temporalmente para un ciclo de energía. [1]
Usos
Device Configuration Overlay (DCO), que se introdujo por primera vez en el estándar ATA-6, "permite a los proveedores de sistemas comprar HDD de diferentes fabricantes con tamaños potencialmente diferentes y luego configurar todos los HDD para que tengan el mismo número de sectores. Un ejemplo de esto sería usar DCO para hacer que un HDD de 80 gigabytes aparezca como un HDD de 60 gigabytes tanto para el (SO) como para el BIOS ... Dado el potencial para colocar datos en estas áreas ocultas, esta es un área de preocupación para investigadores forenses informáticos . Un problema adicional para los investigadores forenses es la obtención de imágenes del disco duro que tiene el HPA y / o el DCO. Si bien algunos proveedores afirman que sus herramientas pueden detectar y obtener imágenes correctamente del HPA, no dicen nada sobre el manejo del DCO o indicar que esto está más allá de las capacidades de su herramienta ". [2]
Herramientas de software DCO
Herramientas de detección
HDAT2 un programa de software gratuito para MS-DOS . Se puede usar para crear / eliminar el área protegida del host (HPA) (usando el comando SET MAX) y crear / eliminar el área oculta de DCO (usando el comando DCO MODIFY). También puede realizar otras funciones en el DCO.
La utilidad gratuita ATATool de Data Synergy se puede utilizar para detectar un DCO en un entorno Windows . Las versiones recientes permiten crear, eliminar o congelar un DCO. [3]
La utilidad gratuita de prueba, reparación y evaluación comparativa de HDD / SSD de Victoria 5.xx le permite trabajar con DCO desde el entorno de Windows . Hay una gama completa de opciones para trabajar con DCO: obtener la estructura, editarla y aplicar cambios.
Herramientas de software para imágenes
Guidance Software 's EnCase® viene con una herramienta basada en Linux que imágenes discos duros llamados lino. LinEn 6.01 fue validado por el Instituto Nacional de Justicia (NIJ) en octubre de 2008, y encontraron que "La herramienta no elimina ni las Áreas protegidas del host (HPA) ni los DCO. Sin embargo, el entorno de prueba de Linux eliminó automáticamente la HPA en la prueba drive, lo que permite que la herramienta muestre sectores ocultos por un HPA. La herramienta no adquirió sectores ocultos por un DCO ". [4]
FTK Imager 2.5.3.14 de AccessData fue validado por el Instituto Nacional de Justicia (NIJ) en junio de 2008. Sus hallazgos indicaron que "si se realiza una adquisición física de una unidad con sectores ocultos en un área protegida del host o en una superposición de configuración del dispositivo, la herramienta no elimina ni un HPA ni un DCO. La herramienta no adquirió sectores ocultos por un HPA ". [5]
Herramientas de imagen de hardware
Se ha encontrado una variedad de herramientas de imágenes de hardware para detectar y eliminar con éxito los DCO. El NIJ prueba rutinariamente herramientas forenses digitales y estas publicaciones se pueden encontrar en https://www.ojp.gov/feature/forensic-sciences/additional-resources o en NIST en https://www.nist.gov/itl/ssd / grupo-de-calidad-de-software / programa-de-prueba-de-herramientas-de-informática-forense-cftt
Ver también
Referencias
- ^ Brian Carrier (2005). Análisis forense del sistema de archivos . Addison Wesley. pag. 38.
- ^ Mark K. Rogers; Mayank R. Gupta; Michael D. Hoeschele (septiembre de 2006). "Áreas de disco ocultas: HPA y DCO" (PDF) . Consultado en agosto de 2010 . Verifique los valores de fecha en:
|accessdate=
( ayuda ) - ^ Data Synergy UK (julio de 2015). "ATATool - Utilidad de HPA / DCO de Windows Data Synergy" .
- ^ Instituto Nacional de Justicia (octubre de 2008). "Resultados de la prueba NIJ para la herramienta de adquisición de datos digitales: EnCase LinEn 6.01" (PDF) . pag. 5 . Consultado en septiembre de 2010 . Verifique los valores de fecha en:
|accessdate=
( ayuda ) - ^ Instituto Nacional de Justicia (junio de 2008). "Resultados de la prueba NIJ para la herramienta de adquisición de datos digitales: FTK Imager 2.5.3.14" (PDF) . pag. 6 . Consultado en septiembre de 2010 . Verifique los valores de fecha en:
|accessdate=
( ayuda )