Disk-Forensik/ Beweismittelquellen/ Beweismittelquellen auf einem Volume

Aus Wikibooks

HPA, DCO[Bearbeiten]

Bei Host Protected Area und Device Configuration Overlay handelt es sich um versteckte Bereiche auf der Festplatte. Diese Bereiche sind vor allem für die Computer Forensik interessante Verstecke bzw. Fundorte von geheimen Daten. Windows hat keine Tools implementiert, die diese Bereiche finden könnten. Es sind spezielle Tools zum Sichtbarmachen der Bereiche notwendig. Diese findet man im Internet. So kann es vorkommen, dass das gesicherte Image des Rechners nicht alle Daten enthält.

Host Protected Area (HPA)[Bearbeiten]

Dabei handelt es sich um einen Bereich auf der Festplatte, auf den Benutzer, BIOS oder Betriebssystem nicht zugreifen und folglich nichts ändern können. Unterschiedlichste Informationen wie z.B. Bootsektor Code, Diagnosewerkzeuge oder Festplattentools werden versteckt. Der Hersteller kann Daten auf der Festplatte verstecken, ohne sich Gedanken zu machen, dass sie vom Benutzer gelöscht werden. HPA wird auch für die Systemwiederherstellung verwendet. Die notwendigen Daten zur Installation des Systems können in diesem Bereich abgelegt werden.

HPA wurde mit dem ATA-4 Standard vom Jahr 2001 eingeführt. Dieser Bereich lässt sich durch nachstehende Low-Level ATA Kommandos erzeugen. Das SET MAX ADDRESS Kommando unterteilt die gesamte Festplatte in 2 Bereiche; einer ist dem Benutzer zugänglich und einer ist versteckt. READ NATIVE MAX ADDRESS liefert die höchste Adresse, die auf der Festplatte ist. IDENTIFY DEVICE liefert die tatsächliche Größe der Platte. Der Vergleich der Kommandos IDENTIFY DEVICE und READ NATIVE MAX ermöglicht es, den HPA Bereich zu finden. Wurde die Festplatte mit dem SET MAX ADDRESS Kommando verkleinert, so liefern die genannten Kommandos unterschiedliche Werte.

Das System könnte auch von Code im HPA Bereich gebootet werden. Unterstützt die Festplatte die address-offset Funktion, kann zuerst ein HPA Bereich mit dem SET MAX ADDRESS Kommando angelegt und anschließend das SET FEATURES Kommando ausgeführt werden. Ist kein HPA Bereich vorhanden, liefert das SET FEATURES Kommando einen Error.

Device Configuration Overlay (DCO)[Bearbeiten]

Festplatten mit unterschiedlicher Größe können so konfiguriert werden, dass alle die gleiche Sektoranzahl aufweisen und folglich die gleiche Größe haben.

DCO existiert seit dem ATA-6 Standard und ist deshalb auch noch nicht so verbreitet wie HPA. Um die Größe der Festplatte zu verkleinern, wird das Kommando DEVICE CONFIGURATION SET verwendet. Die Ausführung dieses Kommandos verändert auch den READ NATIVE MAX Wert. Das Kommando DEVICE CONFIGURATION IDENTIFY liefert die tatsächliche Größe der Platte. Vergleicht man die beiden Kommandos DEVICE CONFIGURATION IDENTIFY und READ NATIVE MAX so kann man feststellen, ob DCO vorhanden ist. Das DEVICE CONFIGURATION RESTORE Kommando ermöglicht das Löschen des DCO.


HPA und DCO können parallel auf einer Festplatte existieren. Zuerst wird DCO mit dem Kommando DEVICE CONFIGURATION SET und anschließend HPA mit dem Kommando SET MAX ADDRESS angelegt. READ NATIVE MAX ADDRESS liefert den Wert den man beim DEVICE CONFIGURATION SET Kommando eingegeben hat. Das BIOS liefert auch diesen Wert und nicht die tatsächliche Größe, die das Kommando DEVICE CONFIGURATION IDENTIFY liefern würde. Das passiert, weil während des Boot Vorgangs das BIOS die READ NATIVE MAX ADDRESSE zur Verfügung stellt.

Forensisch interssant ist nicht nur, dass in den beiden genannten Bereichen Daten versteckt werden können, sondern auch, dass HPA und DCO nicht immer gefunden werden. Geben Hersteller von Tools an, dass sie HPA finden und auch für eine spätere Analyse aufzeichnen können, so gibt es bei DCO teils keine genaueren Angaben.

Beschädigte Sektoren und Sektor Gaps[Bearbeiten]

Eine Festplatte besitzt neben den verwendeten Sektoren auch noch unbenutzte Sektoren auf reservierten Spuren. Dadurch wird ermöglicht, dass kaputte Sektoren auf freie Sektoren gemapped werden können und dadurch kein Plattenplatz verloren geht. Die guten, welche durch die schlechten Sektoren ersetzt wurden, werden in einer Tabelle vermerkt. Hierfür existieren 2 Tabellen. Eine enthält Sektoren die schon bei der Herstellung kaputt waren und die andere speichert die Sektoren, die im Betrieb ausgefallen sind. Die Zweite wächst also dynamisch. Ein Grund warum man die Low-Level-Formatierung nicht überschreiben soll ist, dass die Tabelle mit Einträgen der beschädigten Sektoren überschrieben werden würde.

Es könnte also vorkommen, dass funktionierende Sektoren als beschädigt markiert und in die Tabelle eingetragen werden, tatsächlich aber forensisch interessante Daten versteckt wurden.

Weiter kann zwischen 2 Sektoren eine Lücke existieren, ein so genannter Intersektor-Gap. Dabei handelt es sich um einen Zwischenraum wo Daten versteckt werden könnten.

Partition Gaps[Bearbeiten]

Als Partition Gap bezeichnet man den freien Platz zwischen zwei Partitionen auf einer Festplatte. In diesem Bereich können Daten versteckt werden. Partitionen können als hidden gekennzeichnet werden, sodass diese vom Betriebssystem nicht angezeigt werden. Außerdem sollte überprüft werden, ob die Summe der einzelnen Größen der Partitionen auch der Gesamtgröße des Datenträgers entspricht. So sollen auch Bereiche gefunden werden, die nicht im aktiven Betrieb vom System genutzt werden.