デバイス構成オーバーレイ

ハードディスクドライブの隠れた領域

デバイス構成オーバーレイ( DCO ) は、今日のハードディスクドライブ(HDD) の多くで非表示の領域になっています。通常、情報が DCO またはホスト保護領域(HPA) に保存されている場合、 BIOS (またはUEFI )、OS 、またはユーザーはその情報にアクセスできません。ただし、特定のツールを使用して HPA または DCO を変更することができます。システムは IDENTIFY_DEVICE コマンドを使用して、特定のハードドライブでサポートされている機能を判断しますが、DCO はこのコマンドに対して、サポートされている機能が存在しない、またはドライブが実際よりも小さいと報告する場合があります。ディスクの実際のサイズと機能を判断するには、DEVICE_CONFIGURATION_IDENTIFY コマンドを使用し、このコマンドの出力を IDENTIFY_DEVICE の出力と比較して、特定のハードドライブに DCO が存在するかどうかを確認します。ほとんどの主要ツールは、DEVICE_CONFIGURATION_RESET コマンドを使用して、ハードドライブを完全にイメージ化するために DCO を削除します。これは、電源投入時に一時的に削除できるホスト保護領域（HPA）とは異なり、ディスクを永続的に変更します。 ^[1]

用途

ATA-6規格で初めて導入されたデバイス構成オーバーレイ（DCO）は、「システムベンダーが複数のメーカーから、場合によっては異なるサイズのHDDを購入し、すべてのHDDを同じセクター数に設定できるようにするものです。例えば、DCOを使用することで、80ギガバイトのHDDをOSとBIOSの両方に対して60ギガバイトのHDDとして認識させることができます。これらの隠し領域にデータが配置される可能性があるため、これはコンピュータフォレンジック調査員にとって懸念事項です。フォレンジック調査員にとってさらに重要な問題は、 HPAやDCOが搭載されたHDDのイメージングです。一部のベンダーは、自社のツールがHPAを適切に検出し、イメージングできると主張していますが、DCOの取り扱いについては言及していないか、自社ツールの能力を超えていると示唆しています。」^[2]

DCOソフトウェアツール

検出ツール

HDAT2はMS-DOS用のフリーソフトウェアです。ホスト保護領域（HPA）の作成/削除（SET MAXコマンドを使用）やDCO隠し領域の作成/削除（DCO MODIFYコマンドを使用）に使用できます。また、DCOに関するその他の機能も実行できます。

Data SynergyのフリーウェアATAToolユーティリティは、 Windows環境からDCOを検出するために使用できます。最近のバージョンでは、DCOの作成、削除、または凍結が可能です。^[3]

ソフトウェアイメージングツール

Guidance SoftwareのEnCaseには、Linuxベースのハードドライブイメージ作成ツール「LinEn」が付属しています。LinEn 6.01は2008年10月に米国国立司法研究所（NIJ）によって検証され、「このツールはホスト保護領域（HPA）もDCOも削除しません。しかし、Linuxテスト環境はテストドライブ上のHPAを自動的に削除し、ツールはHPAによって隠されたセクターのイメージ作成を可能にしました。ツールはDCOによって隠されたセクターを取得できませんでした。」^[4]

AccessDataのFTK Imager 2.5.3.14は、2008年6月に米国司法省（NIJ）によって検証されました。NIJの検証結果によると、「ホスト保護領域（HPA）またはデバイス構成オーバーレイ（DCO）に隠しセクターを持つドライブを物理的に取得した場合、このツールはHPAまたはDCOを削除しません。このツールはHPAによって隠されたセクターを取得しませんでした。」^[5]

ハードウェアイメージングツール

様々なハードウェアイメージングツールがDCOの検出と削除に成功していることが確認されています。NIJはデジタルフォレンジックツールのテストを定期的に実施しており、これらの出版物はwww.ojp.govまたはNISTのhttps://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cfttでご覧いただけます。

DCOの作成

Windows では、ユーザーはATAToolなどのツールを使用してDCO を作成できます。

ユーザーはハードドライブ 1 の DCO を 100 GB に設定できます。

ATATOOL /SETDCO:100GB \\.\物理ドライブ1

ユーザーはハードドライブ 1 上の 100 GB の DCO を削除できます。

ATATOOL /RESTOREDCO:100GB \\.\PhysicalDrive1

これらのコマンドは、データを含むコマンドを実行すると、データの損失やさらに悪い結果を引き起こす可能性があります。^[6]

参照

参考文献

^ ブライアン・キャリア (2005). 『ファイルシステムフォレンジック分析』. アディソン・ウェスリー. p. 38. ISBN 0321268172。
^ Mark K. Rogers、Mayank R. Gupta、Michael D. Hoeschele (2006年9月). 「Hidden Disk Areas: HPA and DCO」(PDF) .
^ Data Synergy UK (2015年7月). 「ATATool - Data Synergy Windows HPA/DCOユーティリティ」
^ 国立司法研究所（2008年10月）「NIJデジタルデータ収集ツールのテスト結果：EnCase LinEn 6.01」（PDF） 5ページ。
^ 国立司法研究所（2008年6月）「NIJデジタルデータ収集ツールのテスト結果：FTK Imager 2.5.3.14」（PDF） 6ページ。
^ 「Data SynergyのPowerMAN PC電源管理ソフトウェア」。 2017年2月3日閲覧。

[carrier-1] ブライアン・キャリア (2005). 『ファイルシステムフォレンジック分析』. アディソン・ウェスリー. p. 38. ISBN 0321268172。

[rogers-2] Mark K. Rogers、Mayank R. Gupta、Michael D. Hoeschele (2006年9月). 「Hidden Disk Areas: HPA and DCO」(PDF) .

[datasynergy-3] Data Synergy UK (2015年7月). 「ATATool - Data Synergy Windows HPA/DCOユーティリティ」

[linen-4] 国立司法研究所（2008年10月）「NIJデジタルデータ収集ツールのテスト結果：EnCase LinEn 6.01」（PDF） 5ページ。

[ftk-5] 国立司法研究所（2008年6月）「NIJデジタルデータ収集ツールのテスト結果：FTK Imager 2.5.3.14」（PDF） 6ページ。

[6] 「Data SynergyのPowerMAN PC電源管理ソフトウェア」。 2017年2月3日閲覧。