Merhaba sevgili Adli Bilişim severler. Bu yazımda sizlere sabit disklerdeki HPA VE DCO alanlarının bulunmasının, incelenmesinin önemini ele alacağım.

HPA(Host Protected Area)

Hidden Protected Area olarak da bilinir. Cihaza yüklenen işletim sistemi tarafından görülmeyen yani kullanıcının doğrudan erişemedeği disk alanında ayrılmış özel bir alandır. Cihazın üreticileri tarafından cihaza ait kurulum ve sürücü dosyaları diskte ayrılan bu özel alanlarda saklanır. Bir sabit disk üzerinde tanımlı bir HPA olup olmadığı tespit etmek için  http://vidstrom.net/stools/taft/  adresinden TAFT  aracını indirip kullanabilirsiniz.

HPA Komutları

READ_NATIVE_MAX_ADDRESS komutu en fazla fiziksel adresi döndürür.

IDENTIFY_DEVICE komutu yalnızca bir kullanıcının erişebileceği kesim sayısını döndürür.

READ_NATIVE_MAX_ADDRESS komutu diskin gerçek ucunu döndürür.

 IDENTIFY_DEVICE komutu kullanıcı alanının sonunu döndürür.

SET_MAX_ADDRESS komutu ile kullanıcının erişimde kullanacağı maksimum adres değerini döndürür.

Örneğin ; disk 20 GB ise READ_NATIVE_MAX_ADDRESS 20GB(41,943,040) diskin sektör sayısını döndürecektir. 1 GB’lık bir HPA oluşturmak için SET_MAX_ADDRESS değeri olarak 39,845,888 ayarlanır. Herhangi bir okuma ya da yazma durumunda kalan 2,097,152 sektör (1 GB) hata kodu üretir ve IDENTIFY_DEVICE komutu maksimum adres değeri olarak 39,845,888 değerini gösterir. HPA’yı silmek için SET_MAX_ADDRESS değerini tekrar diskin gerçek sektör sayısına ayarlamamız gerekir. Şekilde gösterilmiştir.

 

DCO(Device Configuration Overlay)

Diskler üzerinde bulunan gizli alanlardır. Sistem üreticilerinin farklı bir üreticiden aldığı farklı boyutlardaki diskleri aynı boyutlara getirmeyi sağlar yani bir diskin belirgin yeteneklerinin sınırlı olmasını sağlar.

DCO Komutları

DEVICE_CONFIGURATION_SET komutu bir DCO oluşturmak veya değiştirmek için kullanılır.

DEVICE_CONFIGURATION_RESET komutu bir DCO’yu kaldırmak için kullanılır.

DEVICE_CONFIGURATION_IDENTIFY komutu bir diskin gerçek özelliklerini ve boyutunu döndürür.

IDENTIFY_DEVICE komutu kullanıcı alanının sonunu döndürür.

READ_NATIVE_MAX_ADDRESS komutu sektörleri gizleyen bir DCO olup olmadığını gösterir.

Örneğin ; 20GB’lık bir diskte DCO’nun maksimum adresi 19GB olarak belirlediğini düşünelim. READ_NATIVE_MAX_ADDRESS ve IDENTIFY_DEVICE, diskin yalnızca 19GB olduğunu gösterir. Bir 1GB HPA da oluşturulmuşsa, IDENTIFY_DEVICE komutu diskin boyutunun 18GB olduğunu gösterir.

Bir adli bilişim incelemesinde inceleyemeyi yapacağımız disk üzerinde HPA ve DCO alanlarının olup olmadığına bakmak, eğer varsa bu alanları tespit etmek adli bilişim açısından büyük önem taşır. Çünkü kötü niyetli kişiler tarafından diskin bu özel alanlarına veri yazmak mümkündür. Dolayısıyla bir adli inceleme uzmanı bir diskin imajını alırken özellikle HPA ve DCO alanlarınında imajını alıp incelemesi gerekir. Bir imaj alma aracı HPA alanlara bakamıyorsa imajı doğru alamayacaktır. Böyle bir durumda imaj alma programı iki ATA komutunun çıktısını karşılaştırarak bir HPA algılayabilir. Bu ATA komutlarını yürütecek bir araca da erişiminiz yoksa, veri elde etme işlemi sırasında kopyalanan sektör sayısını, disk etiketinde var olan sektör sayısıyla karşılaştırmanız gerekir. HPA’lı bir diskle karşılaştığınızda gizli verilere ulaşmak için, disk yapılandırmasını değiştirip maksimum kullanıcı adresli sektörü diskte de maksimum sektör olacak şekilde ayarlayarak kaldırabilirsiniz. Özellikle kullanıcı tarafından adreslenebilir alan ile disk kapasitesi arasında büyük bir boyut farkı var ise bu gizli alanlar ayrıca incelenmelidir.

Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.