ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Экспериментальная проверка возможности сохранения данных в скрытых дефектных секторах НЖМД

Сергей КОЖЕНЕВСКИЙ, к.т.н.
Владимир ПОРЕЧНЫЙ, к.т.н.
 

Зная особенности организации хранения данных на современных НЖМД, можно сделать вывод о том, что главной проблемой при реализации удаления данных программным путем является обработка дефектных секторов.

В процессе изготовления НЖМД его магнитная поверхность сканируется на наличие дефектных секторов, которые записываются в карту дефектов аппаратным или программным способом. Существует несколько методов переназначения дефектных секторов, однако при использовании любого из них замена неисправных секторов на резервные в рабочей зоне НЖМД не видны пользователю. В результате с течением времени в различных областях на поверхности НЖМД накапливается большой объем информации, недоступной пользователю. Специальными средствами эту информацию можно извлечь.

Экспериментальная проверка возможности сохранения данных в скрываемых дефектных секторах НЖМД производится с целью практического подтверждения возможности длительного сохранения данных в скрываемых дефектных секторах накопителей и, как следствие, возможности существования специфического канала утечки конфиденциальной информации с накопителей на жестких магнитных дисках, связанного с функционированием механизмов автоматического скрытия дефектных секторов.

Необходимость проведения такого эксперимента обусловлена, во-первых, отсутствием достоверных публикаций о практическом подтверждении возможности сохранения данных в дефектных секторах и извлечения данных из скрытых дефектных секторов накопителей, а во-вторых, необходимостью подтверждения практической значимости данной работы. Возможность проведения экспериментальной проверки возможности сохранения данных в скрываемых дефектных секторах накопителей на жестких магнитных дисках связана с двумя обстоятельствами.

Первое обстоятельство заключается в том, что в современных накопителях наряду с функционированием механизмов автоматического скрытия дефектных секторов, предусматриваются также механизмы ручного и полуавтоматического (по результатам выполнения диагностических тестов) пополнения списков (таблиц) дефектных секторов (Defect List) и их последующего скрытия с использованием специальных внешних (по отношению к накопителю) инструментальных средств. Такие механизмы предназначены для обеспечения дополнительных возможностей по восстановлению надежной работы накопителей при их сервисном обслуживании и ремонте. Сами механизмы ручного и полуавтоматического скрытия дефектных секторов основаны на использовании специальных наборов интерфейсных команд производителей (Vendor commands) не входящих в перечень стандартных команд, предусмотренных спецификациями интерфейсов, и предназначенных для доступа к секторам служебных зон накопителей. Конечный результат действия этих механизмов полностью аналогичен результату действия механизмов автоматического скрытия дефектных секторов и заключаются в том, что скрытые сектора становятся недоступными для чтения ранее записанных данных или для записи новых данных.

Второе обстоятельство заключается в том, что наряду с пополнением списка дефектов, наборы специальных команд производителя предоставляют возможность частичной или полной очистки списка дефектов, что в свою очередь, позволяет возобновить доступ к секторам, включенным ранее в список дефектных секторов накопителя.

Резервная область представляет собой совокупность отформатированных секторов, изначально не включаемых в список адресуемых секторов области данных пользователя и предназначенных для реализации механизма «скрытия дефектов» при появлении дефектных секторов в процессе эксплуатации накопителя. Общее количество адресуемых секторов, образующих область данных пользователя, и форматированная емкость накопителя при использовании этого механизма не изменяются.

Объем и расположение резервных областей, а также методы скрытия дефектов не регламентированы и определяются каждым производителем самостоятельно. Для резервирования, например, могут выделяться резервные сектора, размещаемые в конце каждой дорожки, или резервные дорожки, размещаемые в конце зоны на каждой поверхности. Иногда для резервирования могут выделяться отдельные непрерывные области резервных секторов, дорожек и цилиндров.

В современных накопителях в основном используются быстродействующий метод пропуска дефектных участков. Для реализации этого метода резервные секторы обычно размещаются в конце каждой дорожки. Дефектный сектор, обнаруженный внутри дорожки, считается нерабочим (пустым), а вместо него используется следующий по порядку сектор. Последним адресуемым (рабочим) сектором зоны оказывается при этом первый свободный резервный сектор в конце дорожки. Сущность этого метода иллюстрирует рисунок 1.


Рис. 1. Схематическое изображение метода пропуска дефектных секторов

Различные методы скрытия дефектов, имея некоторые отличия между собой, базируются на использовании таблиц дефектов и таблиц трансляторов адресов.

Таблицы дефектов содержат информацию о положении (адресах) дефектных секторов и могут составляться как на этапе заводского низкоуровневого форматирования (начальная таблица – Primary List), так и в процессе эксплуатации (растущая таблица – Grown List).

Таблицы трансляторов адресов содержат информацию, необходимую для пересчета внешних координат секторов (LBA или CHS) во внутренние физические координаты, обеспечивающие обращение к любому сектору, находящемуся в области данных пользователя. Таблицы трансляторов, как правило, также хранятся в служебных зонах, хотя в некоторых накопителях могут храниться и в твердотельной памяти на плате контроллера накопителя.

В процессе эксплуатации корректировка таблиц дефектов некоторых накопителей может осуществляться с использованием последовательностей специальных интерфейсных команд производителей, которые не регламентируются спецификациями интерфейсов. Для реализации такой возможности необходимо использовать специальное оборудование. В накопителях некоторых производителей имеются встроенные процедуры скрытия дефектов, которые запускаются через последовательный технологический интерфейс типа RS-232.

При успешном выполнении процедуры скрытия дефектов форматированная емкость и емкость, доступная операционной системе (и пользователю), не изменяется, а объем резервной области сокращается.

В зависимости от алгоритма процедуры, реализующей механизм скрытия дефектов, данные в скрытых секторах могут либо сохраняться, либо перезаписываться другими данными, используемыми в процессе тестирования адресуемых секторов, доступных на момент начала выполнения процедуры скрытия дефектов.

Во многих современных моделях накопителей реализуются технологии автоматического скрытия дефектов по мере их обнаружения в процессе работы или по результатам внутренней самодиагностики в свободное от выполнения дисковых операций время. Например, в накопителях фирмы Western Digital используется технология ADR (Automatic Defect Retirement) автоматического скрытия дефектов по мере их обнаружения при выполнении дисковых операций записи или чтения данных в процессе работы.

Особенности автоматического скрытия дефектов заключаются, во-первых, в том, что этот механизм полностью скрыт от пользователя, а во-вторых, в том, что данные в скрытых секторах сохраняются в том виде, в каком они были записаны до обнаружения дефекта. Поэтому по мере появления дефектных секторов и их автоматического скрытия может образовываться достаточно большое число скрытых секторов с хранимыми в них данными.

Следует, однако, отметить, что интерпретация смыслового содержания этих данных и их логическая привязка к файлам пользователя является чрезвычайно сложной задачей и не всегда возможна практически.

Техническая возможность осуществления экспериментальной проверки связана с существованием механизмов ручного и полуавтоматического скрытия дефектных секторов, основанных на использовании специальных наборов интерфейсных команд производителей (Vendor commands), обеспечивающих доступ к служебным зонам накопителей с использованием специальных внешних (по отношению к накопителю) инструментальных средств. Конечный результат действия этих механизмов полностью аналогичен результату действия механизмов автоматического скрытия дефектных секторов и заключается в том, что скрытые сектора становятся недоступными для чтения ранее записанных данных или для записи новых данных. Кроме того, наборы специальных команд производителя, реализованные в таких инструментальных средствах, предоставляют также возможность частичной или полной очистки списков (таблиц) дефектов, что в свою очередь, позволяет возобновить доступ к секторам, включенным ранее в список дефектных секторов накопителя.

С учетом, указанных технических возможностей, общая схема проведения эксперимента включает выполнение двух обязательных этапов:

  • этапа скрытия тестового информационного файла в секторах накопителя, включаемых в список дефектных секторов.
  • этапа извлечения данных тестового файла из скрытых секторов.

Эти обязательные этапы могут быть разделены этапом эксплуатации накопителя в течение произвольного времени.

Первый этап экспериментальной проверки включает выполнение следующих действий (операций):

  • подготовку тестового информационного файла, содержащего данные, позволяющие однозначно идентифицировать принадлежность данных в секторах НЖМД именно этому файлу;
  • подготовку НЖМД для записи тестового файла обычными средствами операционной системы, включающую создание логических разделов и их высокоуровневое форматирование. Такая подготовка не является принципиально необходимой, однако она позволяет поместить тестовый файл в начале области данных пользователя первого (основного) логического раздела диска. Это позволяет наиболее просто определить логические координаты (логические адреса – LBA) физических секторов, содержащих данные записанного на НЖМД тестового файла;
  • запись тестового файла на подготовленный НЖМД средствами операционной системы;
  • определение координат физических секторов, содержащих данные записанного на диск тестового файла (или его фрагмента);
  • ручное включение координат физических секторов, содержащих данные записанного на диск тестового файла (или его фрагмента) в список дефектных секторов и выполнение процедуры скрытия.

Первые три операции из приведенного перечня могут быть выполнены с использованием обычных широко распространенных средств (текстового редактора Word, утилиты для создания разделов Fdisk, утилиты форматирования дисков Format и средств работы с файлами, например, Norton Commander для DOS, Windows Commander, Far или Explorer для ОС типа Windows). Для выполнения четвертой операции необходимо использовать средства, которые обеспечивают прямой доступ к физическим секторам дисковых накопителей в обход функций операционных систем. К таким средствам относятся большинство, так называемых дисковых редакторов, например Norton DiskEditor, WinHex и другие подобные им средства.

Наиболее сложными операциями первого этапа являются операции включения координат физических секторов, содержащих данные записанного на диск тестового файла в список дефектных секторов и выполнения самой процедуры скрытия дефектов (последний пункт перечня). Для выполнения этих операций необходимо привлечение специальных инструментальных средств, обеспечивающих доступ к секторам служебных областей (служебных зон) дисков и в частности работу с таблицами дефектов (редактирование таблиц дефектов, выполнение процедур скрытия дефектов). К числу общедоступных средств, позволяющих выполнять такие операции, относятся, например аппаратно-программные комплексы для диагностики и восстановления работоспособности накопителей на жестких магнитных дисках типа PC3000 фирмы ACE Laboratory и HRT (HDD Repair Tools) фирмы BVG Group. В принципе, скрытие секторов с данными тестового файла по описанной выше схеме, можно осуществить с использованием любого из комплексов, однако, для проведения эксперимента удобнее использовать комплекс HRT, программная часть которого выполняется под управлением ОС Windows и имеет более удобный интерфейс пользователя, хорошо подходящий для проведения различных экспериментов с накопителями.

После завершения процедуры скрытия дефектов ранее созданная логическая структура дисков полностью разрушается, поэтому для дальнейшей эксплуатации накопителя со скрытым тестовым файлом (или его фрагментом) необходимо выполнить операции по созданию логических разделов и их высокоуровневого форматирования. Поскольку при этих операциях, также как и при дисковых операциях записи/чтения в процессе дальнейшей эксплуатации накопителя, доступ к данным в скрытых секторах невозможен, то время хранения скрытого тестового файла не имеет принципиального значения (в описываемом эксперименте, данные из скрытых, подобным образом, секторов тестового файла были успешно извлечены после интенсивной эксплуатации накопителя в течение десяти месяцев).

Для извлечения данных скрытого тестового файла на втором этапе эксперимента необходимо только очистить таблицу дефектов. После этого сектора, содержащие данные ранее скрытого тестового файла, становятся доступными для чтения через внешний интерфейс накопителя. Следует только иметь в виду, что очистка таблицы дефектов приводит к полному разрушению логической структуры диска и его недоступности для операционной системы.

Поэтому после очистки таблицы дефектов осуществить чтение данных тестового файла, можно только с помощью указанных выше дисковых редакторов (Norton DiskEditor, WinHex и др.) обеспечивающих прямой доступ к физическим секторам дисковых накопителей в обход функций операционных систем.

Для дальнейшей эксплуатации накопителя (после извлечения скрытого текстового файла) необходимо выполнить полный цикл диагностики и скрытия дефектов (формирования таблицы текущих дефектов) диска, а затем подготовить диск к работе (сформировать логические разделы и выполнить их высокоуровневое форматирование).

Методика проведения экспериментальной проверки, реализующая описанную выше общую схему, представлена в виде плана эксперимента, приведенного в Таблице 1.

Табл. 1. План (методика) экспериментальной проверки возможности сохранения данных в скрываемых дефектных секторах накопителей на жестких магнитных дисках

Экспериментальная проверка возможности сохранения данных в скрываемых дефектных секторах накопителей на жестких магнитных дисках проводилась с использованием инструментальной базы Центра восстановления информации компании «ЕПОС» (www.epos.kiev.ua). Для эксперимента использовался накопитель фирмы IBM семейства Deskstar 40GV типа DTLA-305020, имеющий 40176565 логически адресуемых секторов в области данных пользователя (форматированная емкость ~ 20,5 Гбайт), не бывший в эксплуатации. При подготовке накопителя, в соответствии с п.1 методики проведения эксперимента, на нем был создан один (основной) логический раздел файловой системы FAT32 с размером кластеров 32768 байт, занимающий всю область данных пользователя. В качестве тестового файла использовался текстовый файл Методика.txt, подготовленный с помощью текстового редактора Word, содержащий следующий фрагмент проекта статьи, посвященной данному эксперименту: «Экспериментальная проверка возможности чтения данных из скрытых дефектных секторов накопителей на жестких магнитных дисках.

Цели и задачи эксперимента – экспериментальная проверка возможности съема данных из скрытых дефектных секторов накопителей на жестких магнитных дисках производится с целью практического подтверждения возможности существования специфических каналов утечки конфиденциальной информации с накопителей на жестких магнитных дисках, которая связана с реализацией в современных накопителях технологий скрытия дефектных секторов, возникающих в процессе эксплуатации.

К настоящему времени известно два способа скрытия дефектных секторов, неизбежно возникающих в процессе эксплуатации накопителей на жестких магнитных дисках:

  • скрытие дефектных секторов с помощью специальных внешних программных и аппаратно-программных инструментальных средств (комплексов), использующих недокументированные (нестандартные) команды интерфейса для доступа к служебной информации накопителей и для выполнения процедур низкоуровневого форматирования накопителей;
  • скрытие дефектных секторов встроенными средствами самого накопителя с помощью специальных внешних программных и аппаратно-программных инструментальных средств (комплексов), использующих недокументированные (нестандартные) команды интерфейса только для инициализации внутренних процедур скрытия дефектов».

Тестовый файл занимает один кластер (32768 байт), при этом фактический размер данных файла равен 13312 байт (26 физических секторов). Логические координаты (LBA) секторов, содержащих данные тестового файла записанного на диске (п.2 методики) определены с помощью дискового редактора Norton Disk Editor. Как показано на рис. 2, записанный тестовый файл расположен в физических секторах основного логического раздела, начиная с LBA = 608 (в децимальном исчислении) или LBA = 260 (в шестнадцатеричном исчислении, HEX).


Рис. 2. Положение секторов текстового файла на диске

Содержание исходной таблицы дефектов накопителя и исходной таблицы транслятора, полученное с использованием режимов Defect List и Issue Translator комплекса HRT после записи тестового файла (п.3 методики) приведено на Рис. 3 и Рис. 4, соответственно.

В каждой строке таблицы дефектов отображаются физические (C-H-S) координаты дефектных секторов (в децимальном исчислении). Как следует из Рис. 3, в исходном состоянии накопитель имел 42 дефектных сектора с номерами от 0 до 41. Поскольку окно отображения таблицы дефектов ограничено, то на Рис. 3 показаны координаты только тринадцати последних дефектных секторов.

Таблица транслятора (рис. 4), устанавливает соответствие между логическими (LBA) и физическими (C-H-S) адресами секторов области данных пользователя, начиная с LBA=260 HEX, соответствующего первому сектору с данными тестового файла (все координаты в окне таблицы транслятора представлены в шестнадцатеричном исчислении).

Следующей операцией (п.4 методики) является внесение координат секторов, содержащих данные тестового файла в список дефектов. Количество скрываемых секторов в данном случае не имеет принципиального значения, поэтому в данном эксперименте осуществляется скрытие первых трех секторов имеющих логические адреса 260, 261, 262 (HEX). Соответствие этих адресов физическим координатам секторов в шестнадцатеричном и десятичном исчислении, определенное на основании таблицы транслятора (см. рис. 4) приведено в таблице 2.

 
Рис. 3. Исходная таблица дефектов Рис. 4. Исходная таблица транслятора


Табл. 2. Соответствие логических и физических координат скрываемых секторов

Для внесения физических адресов, выбранных для скрытия секторов с данными тестового файла, в список дефектных секторов используется функция Add to list режима Defect List комплекса HRT. Окно режима Defect List после внесения дефектов в список (последние три строки ) показано на рис. 5.

Для скрытия секторов, внесенных в список (п.5 методики), выполняется процедура, включающая следующие действия:

  • в режиме Defect List комплекса HRT выполняется операция Upload on disk, при этом изменения, внесенные в список, записываются в таблицу дефектов служебной зоны (область служебных данных накопителя);
  • выключается и через 15… 20 секунд снова включается питание накопителя, при этом накопитель инициализируется с новой таблицей дефектов;
  • в режиме Test комплекса HRT выполняется операция Quick Write Test, по логическим координатам, при этом контроллер накопителя осуществляет пересчет таблицы транслятора с учетом изменений внесенных в таблицу дефектов.

В результате выполнения этих операций логическим адресам секторов, которые содержали данные тестового файла и были внесены в список дефектов, поставлены в соответствие адреса других физических секторов, взятых из резервной области, а физические секторы с данными тестового файла исключены из списка логически адресуемых секторов и стали, таким образом, не доступными для пользователя. Эти изменения отражены в таблице транслятора, показанной на рис. 6, которая получена после скрытия секторов, содержащих данные тестового файла. Соответствие логическим адресам скрытых секторов физических адресов новых секторов, взятых из резервной области, приведено в таблице 3.

 
Рис. 5. Внесение секторов текстового файла в список дефектов Рис. 6. Таблица транслятора после скрытия секторов текстового файла


Табл. 3.  Соответствие логических адресов скрытых секторов и физических адресов резервной области

После выполнения процедуры скрытия дефектов логическая структура накопителя полностью разрушается в результате записи контроллером накопителя при выполнении операции Quick Write Test своих тестовых данных во все логически адресуемые секторы области данных пользователя (см. рис. 7). Поэтому для дальнейшей эксплуатации накопителя со скрытыми данными тестового файла необходимо выполнить операции создания логических разделов и высокоуровневого форматирования (п.6 методики проведения эксперимента).


Рис. 7. Данные в секторе с адресом, соответствующим адресу скрытого сектора

В описываемом эксперименте после выполнения операций первого этапа, накопитель со скрытыми секторами, содержащими данные тестового файла, интенсивно эксплуатировался в течение десяти месяцев в Центре восстановления информации компании «ЕПОС» в качестве технологического накопителя для временного хранения восстановленной информации. За это время таблица скрытых дефектных секторов в результате функционирования реализованного в этом накопителе механизма автоматического скрытия дефектов ADR (Automatic Defect Reallocation) увеличилась c 45 до 9647 записей, при этом внесенные на первом этапе координаты секторов, содержащих данные тестового файла остались в списке.

Для извлечения данных тестового файла из скрытых секторов (п.7 методики проведения эксперимента) производится очистка таблицы дефектов накопителя. Для этого используется функция Clear on Disk режима Defect List комплекса HRT. Для того, чтобы внесенное изменение вступило в силу необходимо заново инициализировать накопитель путем выключения питания накопителя и его повторного включения через 15...20 секунд.

В результате выполнения этих операций ранее скрытые сектора, с логическими и физическими координатами, приведенными в таблице 2, содержащие данные тестового файла, снова становятся доступными для чтения с помощью дискового редактора Norton Disk Editor. Прочитанные данные оказались полностью идентичными с данными, записанными в эти сектора до внесения их в список дефектных секторов, что является первым результатом проведенного эксперимента. Второй результат заключается в том, что за время эксплуатации накопителя (в течение десяти месяцев) контроллером накопителя было автоматически скрыто 9602 сектора, при этом, общий объем скрытых, таким образом данных составил 4916224 байт или 4801 Кбайт. Естественно, эти данные являются фрагментарными, однако минимальный размер каждого фрагмента равен размеру сектора (512 байт) и, как показывает, проведенный эксперимент даже отдельный фрагмент может иметь вполне осмысливаемое содержание, что является третьим результатом эксперимента, показывающим возможность сохранения в скрываемых секторах содержательно интерпретируемых данных.

Подробное исследование других способов чтения данных из скрытых дефектных секторов и их анализа, с целью содержательной интерпретации и извлечения конфиденциальной информации выходит за рамки данной работы. Однако можно отметить, что задача чтения данных из дефектных секторов накопителей, является одной из задач, успешно решаемых в специализированных сервисных центрах, осуществляющих восстановление информации с дефектных жестких дисков.

Выводы

  1. Проведенный эксперимент полностью подтвердил возможность неконтролируемого накопления конфиденциальной информации в скрытых секторах современных накопителей на жестких магнитных дисках, связанную с использованием в них механизмов автоматического скрытия дефектных секторов и создающую дополнительную угрозу информационной безопасности информационных и телекоммуникационных систем всех уровней сложности.
  2. Полученные результаты подтверждают необходимость тщательного анализа всех организационно-технических мероприятий по защите информации в современных информационных и телекоммуникационных системах с точки зрения полноты учета возможности существования дополнительного канала утечки информации. В результате такого анализа должна быть определена необходимость и содержание дополнительных мер по предотвращению утечки конфиденциальной информации, особенно при проведении работ, связанных с обслуживанием, модернизацией и заменой оборудования таких систем.

Литература

  1. MAN3735MC/MP, MAN3367MC/MP, MAN3184MC/MP SERIES DiskDrives. Product Manual. Fujitsu Limited, 2001.
  2. Lodder J.S. Magnetic recording hard disk thin film media. Journal – Actual Status and Future, 1995.
  3. Scott Mueller, Craig Zacker. Upgrading and repairing PCs. Tenth Anniversary Edition. Que Corporation, 1998.
  4. Taratorin Alexander. Characterization of Magnetic recording Systems. A practical approach. Guzik Technical Enterprises, 1996.
  5. Yukihiro Uematsu, Masanori Fukushi. Servo Track Writing Technology. Fujitsu Scientific & Technical Journal, #12, 2001, P.220-226.
  6. Гитлиц М.В. Цифровая магнитная запись. ИНТ Радиотехника, т. 35,1986. - С. 75-126.
  7. Гук М. Дисковая подсистема ПК. ИД «Питер», 2001.-336с.:ил.
  8. «Информационная безопасность офиса». Научно-практический сборник. Выпуск первый «Технические средства защиты информации». К.: ООО «ТИД «ДС», 2003.
  9. Котов Е.П., Руденко М.И. Носители магнитной записи. Справочник. М.: Радио и связь, 1990г.
  10. Лауфер М.В., Крыжановский А.И. Теоретические основы магнитной записи сигналов на движущийся носитель, Киев, «Высшая школа», 1982. – С. 42-48.
  11. Преображенский А.А. Теория магнетизма, магнитные материалы и элементы, Москва, «Высшая школа», 1972.
  12. Тикадзуми С. Физика ферромагнетизма. Магнитные характеристики и практические применения. Пер. с японского. – М.: Мир, 1987.
  13. Страшна А.В., Четвериков И.А. Особенности функционирования накопителей на жестких магнитных дисках: безопасность информационных и телекоммуникационных систем//Зв'язок. - 2003. №5. – с.47-49.
  14. Аппаратно-программный комплекс «РС-3000» для восстановления работоспособности и ремонта HDD с интерфейсом IDE//cайт фирмы «ACE Laboratory»/www. acelab.ru.
  15. Комплекс «HDD Repair Tool» для восстановления работоспособности и ремонта жестких дисков фирмы IBM./cайт фирмы «BVG Group»/www.bvg-group.ru.
  16. Обзор продукта Deskstar 40GV/Ultra ATA 100/Модели: DTLA-305010, DTLA-305020, DTLA-305030, DTLA 305040.//сайт центра поддержки дисковых накопителей IBM/www.ibm.com/harddrive.
  17. Аппаратные методы восстановления информации, хранимой на жестких дисках/С.Р.Коженевский. – «Реєстрація, зберігання та обробка даних». Том 4, № 2, 2002 г. Стр. 62-71.


Поделиться информацией