私はこの他のスーパーユーザーの投稿の指示に従っています: ハードドライブ-マルウェア感染後もHPAやDCOなどの「隠された領域」を一掃します
ここ数日、私はHDDの隠れた領域を調査し、Linuxでそれらを実験してきました。私の興味をピークにした2つのトピックは、ホスト保護領域とデバイス構成オーバーレイでした。 -)。 HDDをスキャンしてHPAを探しましたが、HPAが無効であることがわかりました。つまり、HPAがありません。
[〜#〜] dco [〜#〜]については、次のように実行しました。
Sudo hdparm --dco-identify /dev/sdb
そして、次の出力を取得しました。
/dev/sdb:
DCO Checksum verified.
DCO Revision: 0x0002
The following features can be selectively disabled via DCO:
Transfer modes:
mdma0 mdma1 mdma2
udma0 udma1 udma2 udma3 udma4 udma5
Real max sectors: 1465149168
ATA command/feature sets:
SMART self_test error_log security HPA 48_bit
selective_test
WRITE_UNC_EXT
SATA command/feature sets:
NCQ interface_power_management SSP
私の質問は次のとおりです。
--dco-restore
を実行してそれを取り除く必要がありますか?マルウェアが隠されたHDD領域に隠れないようにしたいので、そこに個人データが存在するかどうかが心配です。
HDDをブリックする危険を冒したくないのですが。
ウィキペディア のDCO(デバイス構成オーバーレイ)エントリで説明されているように:
ATA-6標準で最初に導入されたデバイス構成オーバーレイ(DCO)を使用すると、「システムベンダーは、サイズが異なる可能性のあるさまざまなメーカーからHDDを購入し、すべてのHDDが同じセクター数になるように構成できます。これは、DCOを使用して、80ギガバイトのHDDを(OS)とBIOSの両方に60ギガバイトのHDDとして表示させることです。これらの隠れた領域にデータを配置する可能性があることを考えると、これは懸念される領域です。コンピュータフォレンジック調査員。フォレンジック調査担当者にとっての追加の問題は、HPAやDCOが搭載されたHDDのイメージングです。特定のベンダーは、ツールがHPAを適切に検出してイメージングできると主張していますが、取り扱いについては沈黙しています。 DCOの、またはこれが彼らのツールの能力を超えていることを示します。」