デバイス構成オーバーレイ

デバイス構成オーバーレイ( DCO ) は、今日のハードディスクドライブ(HDD) の多くで非表示の領域になっています。通常、情報が DCO またはホスト保護領域(HPA) に保存されている場合、 BIOS (またはUEFI )、OS 、またはユーザーはその情報にアクセスできません。ただし、特定のツールを使用して HPA または DCO を変更することができます。システムは IDENTIFY_DEVICE コマンドを使用して、特定のハードドライブでサポートされている機能を判断しますが、DCO はこのコマンドに対して、サポートされている機能が存在しない、またはドライブが実際よりも小さいと報告する場合があります。ディスクの実際のサイズと機能を判断するには、DEVICE_CONFIGURATION_IDENTIFY コマンドを使用し、このコマンドの出力を IDENTIFY_DEVICE の出力と比較して、特定のハードドライブに DCO が存在するかどうかを確認します。ほとんどの主要ツールは、DEVICE_CONFIGURATION_RESET コマンドを使用して、ハードドライブを完全にイメージ化するために DCO を削除します。これは、電源投入時に一時的に削除できるホスト保護領域（HPA）とは異なり、ディスクを永続的に変更します。 ^{[ 1 ]}

用途

ATA-6規格で初めて導入されたデバイス構成オーバーレイ（DCO）は、「システムベンダーが複数のメーカーから、場合によっては異なるサイズのHDDを購入し、すべてのHDDを同じセクター数に設定できるようにするものです。例えば、DCOを使用することで、80ギガバイトのHDDをOSとBIOSの両方に対して60ギガバイトのHDDとして表示することができます。これらの隠し領域にデータが配置される可能性があることを考えると、これはコンピュータフォレンジック調査員にとって懸念事項です。フォレンジック調査員にとってさらに重要な問題は、 HPAとDCOの両方、あるいはその両方が搭載されたHDDのイメージングです。一部のベンダーは、自社のツールがHPAを適切に検出し、イメージングできると主張していますが、DCOの取り扱いについては言及していないか、自社ツールの能力を超えていると示唆しています。」^{[ 2 ]}

DCOソフトウェアツール

検出ツール

HDAT2は MS-DOS用のフリーソフトウェアです。ホスト保護領域（HPA）の作成/削除（SET MAXコマンドを使用）やDCO隠し領域の作成/削除（DCO MODIFYコマンドを使用）に使用できます。また、DCOに関するその他の機能も実行できます。

Data SynergyのフリーウェアATAToolユーティリティは、 Windows環境からDCOを検出するために使用できます。最新バージョンでは、DCOの作成、削除、または凍結が可能です。^{[ 3 ]}

ソフトウェアイメージングツール

Guidance SoftwareのEnCaseには、Linuxベースのハードドライブイメージ作成ツール「LinEn」が付属しています。LinEn 6.01は2008年10月に米国国立司法研究所（NIJ）によって検証され、「このツールはホスト保護領域（HPA）もDCOも削除しません。しかし、Linuxテスト環境はテストドライブ上のHPAを自動的に削除し、ツールはHPAによって隠されたセクターのイメージ作成を可能にしました。ツールはDCOによって隠されたセクターを取得できませんでした。」という結果が出ました。^{[ 4 ]}

AccessDataのFTK Imager 2.5.3.14は、2008年6月に米国司法省（NIJ）によって検証されました。その検証結果によると、「ホスト保護領域またはデバイス構成オーバーレイに隠しセクターを持つドライブの物理的な取得が行われた場合、このツールはHPAまたはDCOを削除しません。このツールはHPAによって隠されたセクターを取得しませんでした。」^{[ 5 ]}

ハードウェアイメージングツール

様々なハードウェアイメージングツールがDCOの検出と削除に成功していることが確認されています。NIJはデジタルフォレンジックツールのテストを定期的に実施しており、これらの出版物は www.ojp.govまたはNISTの https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cfttでご覧いただけます。

DCOの作成

Windows では、ユーザーはATAToolなどのツールを使用してDCO を作成できます。

ユーザーはハードドライブ 1 の DCO を 100 GB に設定できます。

ATATOOL /SETDCO:100GB \\.\物理ドライブ1

ユーザーはハードドライブ 1 上の 100 GB の DCO を削除できます。

ATATOOL /RESTOREDCO:100GB \\.\PhysicalDrive1

これらのコマンドは、データを含むコマンドを実行すると、データの損失やさらに悪い結果を引き起こす可能性があります。^{[ 6 ]}

参照

参考文献

^ブライアン・キャリア (2005). 『ファイルシステムフォレンジック分析』. アディソン・ウェスリー. p. 38. ISBN 0321268172。
^ Mark K. Rogers、Mayank R. Gupta、Michael D. Hoeschele (2006年9月). 「Hidden Disk Areas: HPA and DCO」(PDF) .
^ Data Synergy UK (2015年7月). 「ATATool - Data Synergy Windows HPA/DCOユーティリティ」 .
^国立司法研究所（2008年10月）「NIJデジタルデータ収集ツールのテスト結果：EnCase LinEn 6.01」（PDF） 5ページ。
^国立司法研究所 (2008年6月). 「NIJデジタルデータ収集ツールのテスト結果: FTK Imager 2.5.3.14」(PDF) . p. 6.
^ 「Data SynergyのPowerMAN PC電源管理ソフトウェア」。 2017年2月3日閲覧。

[carrier-1] ブライアン・キャリア (2005). 『ファイルシステムフォレンジック分析』. アディソン・ウェスリー. p. 38. ISBN 0321268172。

[rogers-2] Mark K. Rogers、Mayank R. Gupta、Michael D. Hoeschele (2006年9月). 「Hidden Disk Areas: HPA and DCO」(PDF) .

[datasynergy-3] Data Synergy UK (2015年7月). 「ATATool - Data Synergy Windows HPA/DCOユーティリティ」 .

[linen-4] 国立司法研究所（2008年10月）「NIJデジタルデータ収集ツールのテスト結果：EnCase LinEn 6.01」（PDF） 5ページ。

[ftk-5] 国立司法研究所 (2008年6月). 「NIJデジタルデータ収集ツールのテスト結果: FTK Imager 2.5.3.14」(PDF) . p. 6.

[6] 「Data SynergyのPowerMAN PC電源管理ソフトウェア」。 2017年2月3日閲覧。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]