[Forensic] HPA / DCO 정리?!

HPA(Host Protected Area)

- ATA(Advanced Technology Attachment)-4 표준에서 추가된 기능

- HDD에 의해 미리 예약된 영역으로 BIOS를 통해 접근할 수 없다. (OS에서 볼 수 없다)

 

사용처

- 시스템 부팅이나 진단 유틸리티

- CD, DVD 없이 시스템 복구를 위해

- 노트북 보안 유틸리티 저장

- 루트킷을 통한 악의적인 용도 및 데이터 은닉

 

HPA 명령어

  - IDENTIFY DEVICE : 현재 BIOS를 통해 접근 가능한 영역 리턴

  - SET MAX ADDRESS(EXT) : BIOS를 통해 접근 가능한 영역 설정 (HPA 생성)

  - READ NATIVE MAX ADDRESS(EXT) : 실제 디스크 전체 영역을 리턴

 

DCO(Device Configuration Overlay)

- ATA(Advanced Technology Attachment)-6부터 추가된 기능

- HDD 제조사에 따라 정의된 특별한 ATA 명령으로 접근

 

사용처

- 제조한 HDD를 같은 섹터를 가지는 고정된 크기의 HDD로 구성 가능

  * 60GB. 100GB, 200GB, 500GB, 1TB등 여러 사이즈로 제조한 HDD 를 같은 섹터 개수를 가지는 고정된 크기의 HDD로 구성

 

DCO 명령어

 - DEVICE CONFIGURATION SET : DCO 설정

 - DEVICE CONFIGURATION IDENTITY : DCO 접근

 - DEVICE CONFIGURATION RESTORE : DCO 제거

 

 

HPA 영역과 DCO 영역 모두 동일한 HDD 내에 존재 가능

DEVICE CONFIGURATION SET 을 통해 DCO를 설정하고, SET MAX ADDRESS 명령으로 HPA를 구성

 

 

두 영역 모두 BIOS에서 확인이 되지 않기 때문에 증거 은닉 목적으로 사용될 수 있다.

포렌식 할 때 HPA와 DCO가 있는지 확인해야 하며, OS상에서 BIOS를 이미징 할 경우 HPA와 DCO 영역이 제외된 상태로 수집될 수 있다. 따라서 해당 HDD의 모델이 가지는 정해진 용량을 확인후 이미징을 해야한다.