【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究
本期,数据恢复四川省重点实验室科研人员带来一种关于日立硬盘BIOS加密无法访问数据区的快速解密技术研究。相比常规方法,这种技术操作简单、流程简化、成功率高,可助力一线取证人员快速调取重要线索。
日立环球存储科技公司创立于2003年,它是基于IBM和日立就存储科技业务进行战略性整合而创建的,存储业务是日立的五项核心业务之一。其中,日立硬盘覆盖了适用于办公室和家庭使用的电脑硬盘以及便于携带的移动硬盘等,在国内具有较高的市场占有率。在案件调查取证过程中,一线取证人员会遇到日立硬盘BIOS加密(能识别型号、LBA值、SN号)无法访问数据的情况。这一情况往往是因为日立硬盘用户为了防止硬盘数据泄露,而在电脑开机时进入电脑主板BIOS设置了BIOS密码,导致出现取证人员无法访问日立硬盘数据区的问题,影响案件的侦破速度。针对这一问题,研究一种专业技术快速有效解决日立硬盘BIOS(主要指台式机或笔记本电脑硬盘,暂不包括移动硬盘)加密无法访问数据区的问题,对于电子取证非常重要。
认识日立硬盘
日立硬盘主要由电路板(包含ROM信息和NVRAM信息)、盘片、磁头三部分构成。NVRAM(非易失性内存,其中“非易失性”是指断电后仍能保持数据)其实是电路板(PCB,Printed Circuit Board)上8位串行存取的Flash ROM芯片。这些数据非常重要,在日立硬盘的NVRAM中存储了该硬盘的磁头数量、固件区起始地址、ROM覆盖模块的校验以及盘片适配参数等重要信息,它位于硬盘电路板上。
【日立硬盘结构图】
在一般的硬盘产品中,硬盘的磁头数量、固件区起始地址、ROM覆盖模块的校验以及盘片适配参数等重要信息都存储在ROM与磁盘固件区等位置中。而日立硬盘采用了NVRAM作为其重要参数的存储介质,同时还添加了一项新的重要特性——即在该技术中采用数量众多的随机固件区起始位置,并将这些可以看作是每个硬盘惟一(这里的惟一意味着很难找到两块具有完全相同固件区起始位置的硬盘)对应的起始位置数据存放在了NVRAM中。这样每块硬盘需配合自己的NVRAM才能工作,一旦硬盘的NVRAM存储信息损坏或丢失,操作系统以及工具软件都将无法识别硬盘,更无法进入到硬盘固件区进行操作,硬盘将陷入瘫痪的状态,因此硬盘的维修和数据的恢复也就无从谈起。
日立硬盘的固件主要存储在硬盘盘片上。无论是ARM系列还是IRM系列日立硬盘,固件都有2个备份,分别是A组、B组。此外,日立硬盘的固件中还存在一个C区 ,它其实是A组的一个备份,在厂家对硬盘进行自动校准工作时固化生成,并且以后不会再改变和使用。即使一块硬盘中的A组和B组都损坏了,C区也不会被自动启用来代替A组或B组。此时就需要使用专门的软件访问C区,并利用它来重建A组和B组,以达到修复硬盘与恢复数据的目的。
日立硬盘存在的BIOS加密情况,其本质就是人为设置了硬盘的ATA密码(数据访问锁),ATA密码被记录在密码模块内。日立硬盘的密码模块一般有三种,即IECS、SECI与PSWD,所有专业的工具可以查看密码模块并且对它解锁,而这一功能是市面上解密工具都拥有的密码移除功能。但是,日立硬盘采用了更为严格的密码保护措施:一旦硬盘在用户模式下被锁定了,进入到所有固件区(盘片上的固件和PCB上的固件)通道都会被锁上,因此是不可能去读密码模块并且解锁的。而且,不同于其他厂商的硬盘,日立硬盘不会在密码模块内记录纯文本的ATA密码。
日立硬盘在用户模式下对硬盘进行加密,实际上就是在用户模式下对A区的密码模块进行了修改,修改之后的日立硬盘即可进入加密状态。用户模式下的固件区被加密,数据区就无法访问。
通过安全模式访问C区原始密码模块
数据恢复四川省重点实验室科研人员通过分析得出,加密日立硬盘的C区密码模块是没有被修改和加密的。因此只需要通过安全模式访问C区的原始密码模块,并利用它来恢复A组和B组,就可以达到解密硬盘与恢复数据的目的。在这里,我们需要了解一下日立硬盘的安全模式以及如何进入?
日立硬盘有两种模式:用户模式和工厂模式。用户模式就是从A区启动固件,初始化硬盘;而工厂模式就是从C区启动固件,初始化硬盘。在加密状态下,处于用户模式的硬盘无法访问固件区,所以需要转换硬盘到工厂模式。这个过程就是A组、C区转换。
日立硬盘在从用户模式转换到工厂模式前要设置跳线,设置硬盘为安全模式(即工作在电路板模式);而从工厂模式转换到用户模式可以不需要设置跳线 ,直接更改“NVRAM”中的启动标记字节实现。
在日立硬盘解密的过程中,我们首先需要进入工厂模式,也就是常说的安全模式。在安全模式下,才可以访问到C区固件。因此,需要掌握日立硬盘的工厂模式启动标记。启动标记记录在日立硬盘的NVRAM信息当中。
在访问到C区固件之后,进行C区密码模块读取,下一步就需要回写C区原始密码模块到A组和B组。如果硬盘A组和B组存放密码模块的地址发生偏移,就会导致回写原始密码模块失败,最终导致解密失败。
【日立硬盘解密过程示意图】
第一点,固件区地址发生偏移,导致无法正确读取和写入密码模块;第二点,无法正常进入日立硬盘特有的安全模式,进行C区固件的访问。
【技术视界】系列推荐:
1、【技术视界】第1期:手机取证-手机音频文件恢复提取技术研究
2、【技术视界】第2期:精确读取 提高缺陷硬盘数据恢复成功率
3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?
4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究
5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?