[논문] HPA/DCO 영역의 데이터 수집 기법 연구

서론

HPA(Host Protected Area / Hidden Protected Area)는 HDD에 의해 미리 예약된 영역으로 ATA-4(저장 장치와의 통신을 위한 규약)에서 제시되었다. 시스템 부팅, 진단 유틸리티, 시스템 복구, 보안 유틸리티 저장 등에서 사용되나 루트킷을 통한 악의적인 용도 및 데이터 은닉 등의 악의적인 용도로도 사용가능한다. 

 

* ATA

호스트에 하드 디스크 또는 CD-ROM 장치 등을 연결하기 위한 인터페이스 병렬버스 규격으로 시작하여 PC 분야에서는 표준적인 인터페이스로 발전되어 왔음
*ATA-4의 기능: ATAPI (CD-ROM, 테이프 드라이브 등 지원)오버랩, 큐 명령 집합 기능 (선택 사항), 호스트 보호 영역 (HPA)

* 루트킷

시스템에 전반적으로 접근할 수 있는 Root 권한을 쉽게 얻게 해주는 Kit

DCO(Device Configuration Overlay)는 ATA-6에서 제시되었으며, 해당 영역은 중간 벤더들 또는 필요에 의해 벤더로부터 구입한 HDD를 임의의 고정된 크기의 HDD로 변환할 때 사용된다. (어떻게 변환?)

*벤더

사용자에게 하드웨어나 소프트웨어 같은 컴퓨터 시스템 관련 제품을 판매할 때, 그 브랜드에 책임을 지는 제조업체나 판매 회사.

→ 위의 두 영역(HPA, DCO)은 OS, BIOS에서 확인 및 접근이 불가능하기 때문에 데이터 숨기기에 사용될 수 있음.

 

HPA & DCO

단, ATA 명령어를 이용하여 접근 및 확인 가능하다.

ATA(Advanced Technology Attachment)는 ANSI의 X3T10 그룹이 사용하는 공식 명칭으로서 디스크 드라이브 그 자체 내에 컨트롤러를 통합시켜 구현한 것

HPA, DCO에서 사용되는 주요 명령어와 기능이다.

READ NATIVE MAX ADDRESS: HPA 영역을 포함한 디스크 크기를 확인

DEVICE CONFIGURATION IDENTIFY: DCO 영역을 포함한 디스크 크기를 확인

 

HPA & DCO 영역 접근 및 확인

HPA, DCO 영역을 이미징하려면 ATA 명령을 이용해 해당 영역을 삭제하거나 재설정해야 한다.

영역 확인, 접근, 해제 및 재설정 가능한 도구로는 Helix, HDAT2, SAFE BLOCK, hdparm 등이 있다.

 

Helix

Live CD 형태로 제공되고 포렌식 관련 도구가 내장되어 있다. HPA, DCO 영역이 설정되어 있는 디스크 드라이브를 설치하고 Helix를 구동하면 HPA 영역을 자동으로 해제하고, 해당 영역 확인 및 접근이 가능하다.

또한, Helix 내부의 EnCase로 디스크 이미징도 수행 가능하다.

e-fense :: Cyber Security & Computer Forensics Software

HDAT2

DOS 환경에서 실행되면 HPA 영역 확인, 삭제, 접근, 설정 등이 가능하다.

 

hdparm

리눅스 환경에서 사용 가능하며 HPA, DCO 영역의 확인 및 접근 가능하며 HPA 영역은 삭제 및 설정도 가능하다.

SAFE Block

위도우에서 사용 가능하며 HPA, DCO영역 모두 확인 및 삭제, 설정 가능하다. 단, XP버전에서만 지원한다.

 

결론 및 향후계획

HPA, DCO 영역은 BIOS 및 OS를 이용한 접근은 불가능하고 그렇기 때문에 데이터 은닉에 사용된다. 이 영역을 확인, 해제, 설정하려면 도구가 하며 앞으로 자동화 도구를 구현할 계획이다.

 

---

추가조사

Q. HPA영역과 DCO 영역은 동일한 HDD내에 존재할 수 있을까?

A. 있다. 먼저 DEVICE CONFIGURATION SET 명령어로 DCO를 설정하고 SET MAX ADDRESS 명령어를 통해 HPA를 구성한다. 

위에서 설명한 명령어로 해당 영역을 확인할 수 있다.

---

[ 참고자료 ]

HPA/DCO - Digital Forensic Wikipedia