KillDisk具备检测与重置磁盘隐藏区域的能力:HPA(主机保护区域)和DCO(设备配置覆盖)。
HPA - 主机保护区域
主机保护区域是硬盘或固态硬盘上通常对操作系统不可见的存储区域,该技术最早于2001年在ATA-4标准(T13)中引入。
运作原理:
IDE控制器包含可通过ATA命令查询的寄存器,返回数据提供连接驱动器的相关信息。创建和使用主机保护区域涉及三条ATA命令:
IDENTIFY DEVICE(识别设备)
SET MAX ADDRESS(设置最大地址)
READ NATIVE MAX ADDRESS(读取原生最大地址)
操作系统通过IDENTIFY DEVICE命令获取硬盘可寻址空间。该命令通过查询IDE控制器特定寄存器来确定驱动器容量。
但该寄存器值可通过SET MAX ADDRESS命令修改。若将寄存器值设置为小于硬盘实际容量,即可创建主机保护区域。其保护机制在于:操作系统仅会处理IDENTIFY DEVICE返回的寄存器值,因而通常无法访问位于HPA内的磁盘区域。
HPA仅当被其他软件或固件(如BIOS)调用时才具有实用价值,能识别HPA的软件/固件被称为“HPA感知程序”。这类程序使用READ NATIVE MAX ADDRESS命令访问包含硬盘真实容量的寄存器。要使用HPA区域,控制程序会将IDENTIFY DEVICE读取的寄存器值临时修改为READ NATIVE MAX ADDRESS获取的真实值,待操作完成后再恢复为原预设值。
该示意图展示了主机保护区域(HPA)的创建过程:
初始状态
IDENTIFY DEVICE返回硬盘真实容量
READ NATIVE MAX ADDRESS返回硬盘真实容量
设置阶段
执行SET MAX ADDRESS缩小报告容量
READ NATIVE MAX ADDRESS仍返回真实容量
此时HPA已创建完成
运行状态
IDENTIFY DEVICE返回虚假容量
READ NATIVE MAX ADDRESS持续返回真实容量
HPA进入活跃状态
实际应用场景
早期硬盘固件首次实现HPA时,部分BIOS系统无法引导大容量硬盘。通过硬盘跳线设置初始HPA,将柱面数限制在4095/4096以使旧版BIOS正常启动,随后由引导程序重置HPA让操作系统识别完整存储空间。
该技术主要应用包括:
引导工具:配合BIOS实现启动诊断(如Phoenix First BIOS采用BEER和PARTIES标准)
系统恢复:计算机厂商预装操作系统恢复模块(替代传统光盘介质)
Dell笔记本隐藏MediaDirect工具
IBM/LG笔记本存储系统还原软件
安全防护:
防盗服务商(如Computrace)利用HPA持久运行网络报告程序
执法机构查缉非法数据存储
设备限制:特定外置硬盘盒(如Maxtor)通过HPA限制兼容硬盘容量
恶意软件:
根程序利用HPA规避反病毒软件检测
NSA漏洞利用HPA实现持久化驻留
END
公司名称:北京哲想软件有限公司
北京哲想软件官方网站:cogitosoft.com
北京哲想软件微信公众平台账号:cogitosoftware
北京哲想软件微博:哲想软件
北京哲想软件邮箱:sales@cogitosoft.com
销售(俞先生)联系方式:+86(010)68421378
微信:18610247936 QQ:368531638
