編者按:本期壳快,數(shù)據(jù)恢復(fù)四川省重點實驗室科研人員帶來一種關(guān)于日立硬盤BIOS加密無法訪問數(shù)據(jù)區(qū)的快速解密技術(shù)研究洼专。相比常規(guī)方法燕侠,這種技術(shù)操作簡單者祖、流程簡化、成功率高绢彤,可助力一線取證人員快速調(diào)取重要線索七问。
日立環(huán)球存儲科技公司創(chuàng)立于2003年,它是基于IBM和日立就存儲科技業(yè)務(wù)進行戰(zhàn)略性整合而創(chuàng)建的茫舶,存儲業(yè)務(wù)是日立的五項核心業(yè)務(wù)之一械巡。其中,日立硬盤覆蓋了適用于辦公室和家庭使用的電腦硬盤以及便于攜帶的移動硬盤等饶氏,在國內(nèi)具有較高的市場占有率讥耗。在案件調(diào)查取證過程中,一線取證人員會遇到日立硬盤BIOS加密(能識別型號疹启、LBA值古程、SN號)無法訪問數(shù)據(jù)的情況。這一情況往往是因為日立硬盤用戶為了防止硬盤數(shù)據(jù)泄露喊崖,而在電腦開機時進入電腦主板BIOS設(shè)置了BIOS密碼挣磨,導(dǎo)致出現(xiàn)取證人員無法訪問日立硬盤數(shù)據(jù)區(qū)的問題,影響案件的偵破速度荤懂。針對這一問題茁裙,研究一種專業(yè)技術(shù)快速有效解決日立硬盤BIOS(主要指臺式機或筆記本電腦硬盤,暫不包括移動硬盤)加密無法訪問數(shù)據(jù)區(qū)的問題势誊,對于電子取證非常重要呜达。
一谣蠢、認識日立硬盤
1粟耻、日立硬盤結(jié)構(gòu)
日立硬盤主要由電路板(包含ROM信息和NVRAM信息)查近、盤片、磁頭三部分構(gòu)成挤忙。NVRAM(非易失性內(nèi)存霜威,其中“非易失性”是指斷電后仍能保持數(shù)據(jù))其實是電路板(PCB,Printed Circuit Board)上8位串行存取的Flash ROM芯片册烈。這些數(shù)據(jù)非常重要戈泼,在日立硬盤的NVRAM中存儲了該硬盤的磁頭數(shù)量、固件區(qū)起始地址赏僧、ROM覆蓋模塊的校驗以及盤片適配參數(shù)等重要信息大猛,它位于硬盤電路板上。
在一般的硬盤產(chǎn)品中淀零,硬盤的磁頭數(shù)量挽绩、固件區(qū)起始地址、ROM覆蓋模塊的校驗以及盤片適配參數(shù)等重要信息都存儲在ROM與磁盤固件區(qū)等位置中驾中。而日立硬盤采用了NVRAM作為其重要參數(shù)的存儲介質(zhì)唉堪,同時還添加了一項新的重要特性——即在該技術(shù)中采用數(shù)量眾多的隨機固件區(qū)起始位置,并將這些可以看作是每個硬盤惟一(這里的惟一意味著很難找到兩塊具有完全相同固件區(qū)起始位置的硬盤)對應(yīng)的起始位置數(shù)據(jù)存放在了NVRAM中肩民。這樣每塊硬盤需配合自己的NVRAM才能工作唠亚,一旦硬盤的NVRAM存儲信息損壞或丟失,操作系統(tǒng)以及工具軟件都將無法識別硬盤持痰,更無法進入到硬盤固件區(qū)進行操作灶搜,硬盤將陷入癱瘓的狀態(tài),因此硬盤的維修和數(shù)據(jù)的恢復(fù)也就無從談起工窍。
2占调、日立硬盤固件結(jié)構(gòu)
日立硬盤的固件主要存儲在硬盤盤片上。無論是ARM系列還是IRM系列日立硬盤移剪,固件都有2個備份究珊,分別是A組、B組纵苛。此外剿涮,日立硬盤的固件中還存在一個C區(qū) ,它其實是A組的一個備份攻人,在廠家對硬盤進行自動校準工作時固化生成取试,并且以后不會再改變和使用。即使一塊硬盤中的A組和B組都損壞了怀吻,C區(qū)也不會被自動啟用來代替A組或B組瞬浓。此時就需要使用專門的軟件訪問C區(qū),并利用它來重建A組和B組蓬坡,以達到修復(fù)硬盤與恢復(fù)數(shù)據(jù)的目的猿棉。
二磅叛、日立硬盤BIOS加密本質(zhì)
日立硬盤存在的BIOS加密情況,其本質(zhì)就是人為設(shè)置了硬盤的ATA密碼(數(shù)據(jù)訪問鎖)萨赁,ATA密碼被記錄在密碼模塊內(nèi)弊琴。日立硬盤的密碼模塊一般有三種,即IECS杖爽、SECI與PSWD敲董,所有專業(yè)的工具可以查看密碼模塊并且對它解鎖,而這一功能是市面上解密工具都擁有的密碼移除功能慰安。但是腋寨,日立硬盤采用了更為嚴格的密碼保護措施:一旦硬盤在用戶模式下被鎖定了,進入到所有固件區(qū)(盤片上的固件和PCB上的固件)通道都會被鎖上化焕,因此是不可能去讀密碼模塊并且解鎖的精置。而且,不同于其他廠商的硬盤锣杂,日立硬盤不會在密碼模塊內(nèi)記錄純文本的ATA密碼脂倦。
日立硬盤在用戶模式下對硬盤進行加密,實際上就是在用戶模式下對A區(qū)的密碼模塊進行了修改元莫,修改之后的日立硬盤即可進入加密狀態(tài)赖阻。用戶模式下的固件區(qū)被加密,數(shù)據(jù)區(qū)就無法訪問踱蠢。
三火欧、日立硬盤解密思路:通過安全模式訪問C區(qū)原始密碼模塊
數(shù)據(jù)恢復(fù)四川省重點實驗室科研人員通過分析得出,加密日立硬盤的C區(qū)密碼模塊是沒有被修改和加密的茎截。因此只需要通過安全模式訪問C區(qū)的原始密碼模塊苇侵,并利用它來恢復(fù)A組和B組,就可以達到解密硬盤與恢復(fù)數(shù)據(jù)的目的企锌。在這里榆浓,我們需要了解一下日立硬盤的安全模式以及如何進入?
1撕攒、日立硬盤的兩種模式
日立硬盤有兩種模式:用戶模式和工廠模式陡鹃。用戶模式就是從A區(qū)啟動固件,初始化硬盤抖坪;而工廠模式就是從C區(qū)啟動固件萍鲸,初始化硬盤。在加密狀態(tài)下擦俐,處于用戶模式的硬盤無法訪問固件區(qū)脊阴,所以需要轉(zhuǎn)換硬盤到工廠模式。這個過程就是A組、C區(qū)轉(zhuǎn)換嘿期。
2品擎、如何進入安全模式
日立硬盤在從用戶模式轉(zhuǎn)換到工廠模式前要設(shè)置跳線,設(shè)置硬盤為安全模式(即工作在電路板模式)秽五;而從工廠模式轉(zhuǎn)換到用戶模式可以不需要設(shè)置跳線 孽查,直接更改“NVRAM”中的啟動標記字節(jié)實現(xiàn)饥悴。
四坦喘、日立硬盤解密流程
在日立硬盤解密的過程中,我們首先需要進入工廠模式西设,也就是常說的安全模式瓣铣。在安全模式下,才可以訪問到C區(qū)固件贷揽。因此棠笑,需要掌握日立硬盤的工廠模式啟動標記。啟動標記記錄在日立硬盤的NVRAM信息當中禽绪。
在訪問到C區(qū)固件之后蓖救,進行C區(qū)密碼模塊讀取,下一步就需要回寫C區(qū)原始密碼模塊到A組和B組印屁。如果硬盤A組和B組存放密碼模塊的地址發(fā)生偏移循捺,就會導(dǎo)致回寫原始密碼模塊失敗,最終導(dǎo)致解密失敗雄人。
五从橘、影響日立硬盤解密成功的兩點因素
第一點,固件區(qū)地址發(fā)生偏移础钠,導(dǎo)致無法正確讀取和寫入密碼模塊恰力;第二點,無法正常進入日立硬盤特有的安全模式旗吁,進行C區(qū)固件的訪問踩萎。
小結(jié):數(shù)據(jù)恢復(fù)四川省重點實驗室科研人員通過利用日立硬盤在安全模式下訪問NVRAM芯片,修改固件區(qū)啟動標記很钓,從而將C區(qū)密碼模塊讀取后寫入A組或者B組密碼模塊驻民,以達到解密目的。這種方法能夠有效解決題日立硬盤BIOS加密無法訪問的問題履怯,目前已經(jīng)在效率源DRS數(shù)據(jù)恢復(fù)系統(tǒng)和HD Doctor硬盤固件專修上得到了很好的應(yīng)用回还,為電子取證提供了有力的技術(shù)支撐(效率源微信:xiaolvyuantech)。
