imported>Aka: typografische Anführungszeichen

2024-09-01T09:55:33Z

typografische Anführungszeichen

Neue Seite

'''Host Protected Area (HPA)''', auch bekannt als '''Hidden Protected Area''' oder ''ATA-geschützter Bereich'', ist ein reservierter Bereich für die Speicherung von Daten außerhalb des normalen [[Dateisystem]]s. Dieser Bereich wird vor dem Dateisystem und dem [[Betriebssystem]] – und somit auch vor Formatierungs- und Partitionierungsprogrammen – versteckt und ist für diese nicht erreichbar.

== Verwendungszwecke ==
Verwendungszwecke für HPA sind vor allem die Systemwiederherstellung und die Sicherung von Konfigurationsdaten. So kann beispielsweise der Original-Inhalt einer Systeminstallation in einem geschützten Bereich auf der Festplatte abgelegt und bei einer Wiederherstellung in den regulären Bereich der Festplatte zurückkopiert werden.

HPA ist ein optionales Festplatten-Merkmal, das im [[ATA/ATAPI-4 (seit 1997, ANSI NCITS 317-1998)|ATA-4-Standard]] definiert ist und von den meisten modernen Festplatten unterstützt wird.

Mittels HPA kann eine HPA-fähige Festplatte so manipuliert werden, dass sie kleiner erscheint als sie tatsächlich ist. HPA ermöglicht es, einen oberen Bereich der Festplatte zu verstecken.

== HPA-relevante ATA-Befehle ==
;a) ''IDENTIFY_DEVICE''
Der ATA-Befehl ''IDENTIFY_DEVICE'', der üblicherweise bei der Hardwareerkennung des Betriebssystems aufgerufen wird, gibt die Kapazität einer Festplatte zurück.
;b) ''SET_MAX_ADDRESS''
Der ATA-Befehl ''SET_MAX_ADDRESS'' wird verwendet, um die Festplatte kleiner erscheinen zu lassen, als sie tatsächlich ist.
Der Befehl kann sowohl im flüchtigen (volatile) als auch im nicht-flüchtigen (non-volatile) Modus ausgeführt werden.
Im nicht-flüchtigen (non-volatile) Modus bleibt die neue Maximalgröße dauerhaft – also auch nach einem Ausschalten der Festplatte – erhalten, während im flüchtigen (volatile) Modus die Größe nur vorübergehend, d. h. bis zum nächsten Reset, verändert wird.
Über den ATA-Befehl ''SET_MAX_ADDRESS'' wird der Festplatte also mitgeteilt, welche Kapazität sie beim Befehl ''IDENTIFY_DEVICE'' melden soll.
;c) ''READ_NATIVE_MAX_ADDRESS''
Der ATA-Befehl ''READ_NATIVE_MAX_ADDRESS'' zeigt immer die maximale obere Sektoradresse an, indem er die höchste Adresse gemäß der Werkseinstellung – also die tatsächliche Größe – ausliest.

Durch den Vergleich der Ausgaben der Befehle ''IDENTIFY_DEVICE'' und ''READ_NATIVE_MAX_ADDRESS'' lässt sich ermitteln, ob HPA vorhanden bzw. aktiviert ist. Wenn die beiden Befehle unterschiedliche Größen anzeigen, dann ist die Festplatte irgendwann zuvor mit dem Befehl SET_MAX_ADDRESS „verkleinert“ worden.

Durch erneute Ausführung des Befehls ''SET_MAX_ADDRESS'' kann die Festplattengröße wieder auf die Werkseinstellung zurückgesetzt werden. Dann kann wieder auf die gesamte Festplatte zugegriffen werden, d. h. die Festplatte hat wieder ihre volle Kapazität.

== Computer-Forensik ==
Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den „versteckten“ Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann.

== Manipulieren und Löschen von Datenträgern ==
Auch für den Anwender kann die HPA von großer Bedeutung sein, besonders wenn er die Daten auf der Festplatte durch vollständiges Überschreiben komplett löschen möchte.

Aktuelle Linux-Kernel setzen grundsätzlich eine beim Booten detektierte HPA temporär zurück (deaktivieren diese), sodass der Kernel (und damit der Administrator) auf alle Sektoren bis zur nativen Maximaladresse zugreifen kann. Beispielsweise:
...
hda: Host Protected Area detected.
current capacity is 109170031 sectors (55895 MB)
native capacity is 117210240 sectors (60011 MB)
hda: Host Protected Area disabled.
hda: 117210240 sectors (60011 MB) w/7877KB Cache, CHS=65535/16/63, UDMA(100)
...

Wenn der Kernel die HPA zurücksetzt, können Tools wie der Unix-Befehl dd, der gerne zum Löschen von Datenträgern mittels kompletten Überschreiben der Festplatte mit Nullen oder zufälligen Zahlen verwendet wird, die HPA auch überschreiben. Bei Verwendung eines älteren Kernels, wie zum Beispiel bei der bekannten Live-CD [[DBAN]] (Version 1.0.4), wird die HPA nicht gelöscht<ref>{{Internetquelle |url=http://www.dban.org/node/35 |titel=Does DBAN wipe the Host Protected Area ("HPA")? |werk=Darik's Boot And Nuke: Dokumentation |datum=2008-07-18 |zugriff=2011-10-28 |sprache=en}}</ref>, sondern nur der sichtbare Teil der Festplatte.

== Siehe auch ==
* Device Configuration Overlay ([[Device Configuration Overlay|DCO]])
* ATA Security Feature Set ([[ATA Security Mode Feature Set]])

== Weblinks ==
* HDAT2 (mächtiges Konfigurationstool für DOS, siehe Anleitungen) http://www.hdat2.com/
* Post-mortem-Analyse von Filesystemen unter Linux {{Webarchiv | url=http://www.heise.de/ix/artikel/2006/03/038/ | wayback=20060216194858 | text=Oliver Tennert: In letzter Minute}}
* Computer Forensics and the ATA Interface http://www.foi.se/upload/rapporter/foi-computer-forensics.pdf
* Detecting Host Protected Areas (HPA) in Linux http://www.sleuthkit.org/informer/sleuthkit-informer-17.html#hpa
* Removing Host Protected Areas (HPA) in Linux (disk_sreset Tool) http://www.sleuthkit.org/informer/sleuthkit-informer-20.txt

== Einzelnachweise ==
<references />

[[Kategorie:Dateiverwaltung]]

Host Protected Area - Versionsgeschichte

imported>Aka: typografische Anführungszeichen