ホスト保護地域

ホスト保護領域（HPA ）は、ハードドライブまたはソリッドステートドライブ上の、通常はオペレーティングシステムから参照できない領域です。2001年にATA-4規格CXV（T13）で初めて導入されました。^{[ 1 ]}

仕組み

HPA の作成。この図は、ホスト保護領域 (HPA) がどのように作成されるかを示しています。
IDENTIFY DEVICE はハードドライブの実際のサイズを返します。READ NATIVE MAX ADDRESS はハードドライブの実際のサイズを返します。
SET MAX ADDRESSは、ハードドライブの報告サイズを減らします。READ NATIVE MAX ADDRESSは、ハードドライブの実際のサイズを返します。HPAが作成されました。
IDENTIFY DEVICE は、ハードドライブの偽のサイズを返します。READ NATIVE MAX ADDRESS は、HPA が存在するハードドライブの実際のサイズを返します。

IDEコントローラには、ATAコマンドを使って照会できるデータを含むレジスタがあります。返されるデータは、コントローラに接続されたドライブに関する情報を提供します。ホスト保護領域の作成と使用には、以下の3つのATAコマンドが関係します。

デバイスの識別
最大アドレスの設定
ネイティブ最大アドレスの読み取り

オペレーティングシステムは、IDENTIFY DEVICEコマンドを使用して、ハードドライブのアドレス指定可能な領域を確認します。IDENTIFY DEVICEコマンドは、IDEコントローラ上の特定のレジスタを照会して、ドライブのサイズを確定します。

ただし、このレジスタはSET MAX ADDRESS ATAコマンドを使用して変更できます。レジスタの値が実際のハードドライブサイズよりも小さい値に設定されると、実質的にホスト保護領域が作成されます。この領域が保護されるのは、OSがIDENTIFY DEVICEコマンドによって返されるレジスタの値のみを使用するため、通常、HPA内にあるドライブの部分をアドレス指定できないためです。

HPAは、他のソフトウェアまたはファームウェア（BIOSやUEFIなど）が使用できる場合にのみ役立ちます。HPAを使用できるソフトウェアとファームウェアは、「HPA対応」と呼ばれます。これらのエンティティが使用するATAコマンドは、READ NATIVE MAX ADDRESSと呼ばれます。このコマンドは、ハードドライブの実際のサイズを含むレジスタにアクセスします。この領域を使用するために、制御HPA対応プログラムは、IDENTIFY DEVICEによって読み取られたレジスタの値を、READ NATIVE MAX ADDRESSによって読み取られたレジスタの値に変更します。操作が完了すると、IDENTIFY DEVICEによって読み取られたレジスタは元の偽の値に戻ります。

使用

HPAは、通常BIOSと組み合わせて、様々なブートおよび診断ユーティリティで使用できます。この実装例としては、 Boot Engineering Extension Record（BEER）とProtected Area Run Time Interface Extension Services（PARTIES ）を使用するPhoenix FirstBIOSが挙げられます。^[²^]
HPAは違法とみなされるデータを保存するのにも使用されるため、政府や警察のコンピューターフォレンジックチームの関心を引くものとなる。^{[ 3 ]}
一部のルートキットは、ルートキット対策ソフトウェアやウイルス対策ソフトウェアによる検出を避けるためにHPAに隠れています。^{[ 2 ]}
NSAの攻撃の中には、アプリケーションの永続化のためにHPAを使用するものもある。^{[ 4 ]}

識別

ハードドライブ上の HPA の識別は、さまざまなツールと方法で実行できます。

Data Synergy のATATool
ガイダンスソフトウェアのEnCase
Access Data によるフォレンジックツールキット
マーク・ロードによるhdparm
Brian Carrier によるSleuth Kit (無料のオープンソフトウェア) (HPA 識別は現在 Linux でのみサポートされています。)

参照

参考文献

^ 「ホスト保護地域」（PDF）Utica.edu。
^ ^a ^bビル・ブランデン（2009年）『ルートキットの武器庫：システムの暗部からの脱出と回避』テキサス州プラノ：Wordware Pub. p. 538. ISBN 978-1-59822-061-2. OCLC 297145864 .
^ネルソン, ビル; フィリップス,アメリア; スチュアート, クリストファー (2010). 『コンピュータフォレンジックと調査ガイド（第4版）』ボストン: コーステクノロジー, センゲージラーニング. p. 334. ISBN 978-1-435-49883-9。
^ 「SWAP: NSA Exploit of the Day - Schneier on Security」 2014年2月6日。

外部リンク

[1] 「ホスト保護地域」（PDF）Utica.edu。

[:0-2] ビル・ブランデン（2009年）『ルートキットの武器庫：システムの暗部からの脱出と回避』テキサス州プラノ：Wordware Pub. p. 538. ISBN 978-1-59822-061-2. OCLC 297145864 .

[3] ^ネルソン, ビル; フィリップス,アメリア; スチュアート, クリストファー (2010). 『コンピュータフォレンジックと調査ガイド（第4版）』ボストン: コーステクノロジー, センゲージラーニング. p. 334. ISBN 978-1-435-49883-9。

[4] 「SWAP: NSA Exploit of the Day - Schneier on Security」 2014年2月6日。

[ 1 ]

[

[ 3 ]

[ 4 ]