电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究

编者按:本期,数据恢复四川省重点实验室科研人员带来一种关于日立硬盘BIOS加密无法访问数据区的快速解密技术研究。相比常规方法,这种技术操作简单、流程简化、成功率高,可助力一线取证人员快速调取重要线索。

日立环球存储科技公司创立于2003年,它是基于IBM和日立就存储科技业务进行战略性整合而创建的,存储业务是日立的五项核心业务之一。其中,日立硬盘覆盖了适用于办公室和家庭使用的电脑硬盘以及便于携带的移动硬盘等,在国内具有较高的市场占有率。在案件调查取证过程中,一线取证人员会遇到日立硬盘BIOS加密(能识别型号、LBA值、SN号)无法访问数据的情况。这一情况往往是因为日立硬盘用户为了防止硬盘数据泄露,而在电脑开机时进入电脑主板BIOS设置了BIOS密码,导致出现取证人员无法访问日立硬盘数据区的问题,影响案件的侦破速度。针对这一问题,研究一种专业技术快速有效解决日立硬盘BIOS(主要指台式机或笔记本电脑硬盘,暂不包括移动硬盘)加密无法访问数据区的问题,对于电子取证非常重要。

一、认识日立硬盘

1、日立硬盘结构

日立硬盘主要由电路板(包含ROM信息和NVRAM信息)、盘片、磁头三部分构成。NVRAM(非易失性内存,其中“非易失性”是指断电后仍能保持数据)其实是电路板(PCB,Printed Circuit Board)上8位串行存取的Flash ROM芯片。这些数据非常重要,在日立硬盘的NVRAM中存储了该硬盘的磁头数量、固件区起始地址、ROM覆盖模块的校验以及盘片适配参数等重要信息,它位于硬盘电路板上。

【日立硬盘结构图】

在一般的硬盘产品中,硬盘的磁头数量、固件区起始地址、ROM覆盖模块的校验以及盘片适配参数等重要信息都存储在ROM与磁盘固件区等位置中。而日立硬盘采用了NVRAM作为其重要参数的存储介质,同时还添加了一项新的重要特性——即在该技术中采用数量众多的随机固件区起始位置,并将这些可以看作是每个硬盘惟一(这里的惟一意味着很难找到两块具有完全相同固件区起始位置的硬盘)对应的起始位置数据存放在了NVRAM中。这样每块硬盘需配合自己的NVRAM才能工作,一旦硬盘的NVRAM存储信息损坏或丢失,操作系统以及工具软件都将无法识别硬盘,更无法进入到硬盘固件区进行操作,硬盘将陷入瘫痪的状态,因此硬盘的维修和数据的恢复也就无从谈起。

2、日立硬盘固件结构

日立硬盘的固件主要存储在硬盘盘片上。无论是ARM系列还是IRM系列日立硬盘,固件都有2个备份,分别是A组、B组。此外,日立硬盘的固件中还存在一个C区 ,它其实是A组的一个备份,在厂家对硬盘进行自动校准工作时固化生成,并且以后不会再改变和使用。即使一块硬盘中的A组和B组都损坏了,C区也不会被自动启用来代替A组或B组。此时就需要使用专门的软件访问C区,并利用它来重建A组和B组,以达到修复硬盘与恢复数据的目的。

二、日立硬盘BIOS加密本质

日立硬盘存在的BIOS加密情况,其本质就是人为设置了硬盘的ATA密码(数据访问锁),ATA密码被记录在密码模块内。日立硬盘的密码模块一般有三种,即IECS、SECI与PSWD,所有专业的工具可以查看密码模块并且对它解锁,而这一功能是市面上解密工具都拥有的密码移除功能。但是,日立硬盘采用了更为严格的密码保护措施:一旦硬盘在用户模式下被锁定了,进入到所有固件区(盘片上的固件和PCB上的固件)通道都会被锁上,因此是不可能去读密码模块并且解锁的。而且,不同于其他厂商的硬盘,日立硬盘不会在密码模块内记录纯文本的ATA密码。

日立硬盘在用户模式下对硬盘进行加密,实际上就是在用户模式下对A区的密码模块进行了修改,修改之后的日立硬盘即可进入加密状态。用户模式下的固件区被加密,数据区就无法访问。

三、日立硬盘解密思路:通过安全模式访问C区原始密码模块

数据恢复四川省重点实验室科研人员通过分析得出,加密日立硬盘的C区密码模块是没有被修改和加密的。因此只需要通过安全模式访问C区的原始密码模块,并利用它来恢复A组和B组,就可以达到解密硬盘与恢复数据的目的。在这里,我们需要了解一下日立硬盘的安全模式以及如何进入?

1、日立硬盘的两种模式

日立硬盘有两种模式:用户模式和工厂模式。用户模式就是从A区启动固件,初始化硬盘;而工厂模式就是从C区启动固件,初始化硬盘。在加密状态下,处于用户模式的硬盘无法访问固件区,所以需要转换硬盘到工厂模式。这个过程就是A组、C区转换。

2、如何进入安全模式

日立硬盘在从用户模式转换到工厂模式前要设置跳线,设置硬盘为安全模式(即工作在电路板模式);而从工厂模式转换到用户模式可以不需要设置跳线 ,直接更改“NVRAM”中的启动标记字节实现。

四、日立硬盘解密流程

在日立硬盘解密的过程中,我们首先需要进入工厂模式,也就是常说的安全模式。在安全模式下,才可以访问到C区固件。因此,需要掌握日立硬盘的工厂模式启动标记。启动标记记录在日立硬盘的NVRAM信息当中。

在访问到C区固件之后,进行C区密码模块读取,下一步就需要回写C区原始密码模块到A组和B组。如果硬盘A组和B组存放密码模块的地址发生偏移,就会导致回写原始密码模块失败,最终导致解密失败。

【日立硬盘解密过程示意图】

五、影响日立硬盘解密成功的两点因素

第一点,固件区地址发生偏移,导致无法正确读取和写入密码模块;第二点,无法正常进入日立硬盘特有的安全模式,进行C区固件的访问。

小结:数据恢复四川省重点实验室科研人员通过利用日立硬盘在安全模式下访问NVRAM芯片,修改固件区启动标记,从而将C区密码模块读取后写入A组或者B组密码模块,以达到解密目的。这种方法能够有效解决题日立硬盘BIOS加密无法访问的问题,目前已经在效率源DRS数据恢复系统和HD Doctor硬盘固件专修上得到了很好的应用,为电子取证提供了有力的技术支撑(效率源微信:xiaolvyuantech)。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容

  • linux资料总章2.1 1.0写的不好抱歉 但是2.0已经改了很多 但是错误还是无法避免 以后资料会慢慢更新 大...
    数据革命阅读 12,149评论 2 34
  • Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意...
    萤火虫de梦阅读 99,208评论 9 467
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,633评论 18 139
  • 理论部分 镜像 一、镜像的百科定义 1、维基百科 ISO映像是一种光盘的存档文件(英语:archive file)...
    幻影翔阅读 1,903评论 4 3
  • 相爱很美好, 相知更心动, 恰恰结尾却碰到了选择。 你爱我如宝, 我懂你如已, 但所有的爱情, 并不是都有美好的结...
    梦悠悠阅读 324评论 1 1