13、硬盘隐藏区域及安全功能的访问与管理

硬盘隐藏区域及安全功能的访问与管理

1. 硬盘SMART日志相关信息

硬盘存在一些特定的SMART日志代码，不同代码代表不同的含义，如下表所示：
| 代码 | 数量 | 其他信息 | 含义 |
| — | — | — | — |
| 0x000f | 2 | 0 | 主机到设备数据FIS的R_ERR响应，CRC校验 |
| 0x0012 | 2 | 0 | 主机到设备非数据FIS的R_ERR响应，CRC校验 |
| 0x8000 | 4 | 14532 | 厂商特定 |

不同硬盘厂商可能存在其他SMART日志，可查阅smartctl(8)手册页获取关于附加标志和查询的更多信息。

2. 启用对隐藏扇区的访问

在硬盘分析中，处理主机保护区域（HPA）和设备配置覆盖（DCO）通常是成像过程的一部分。不过，这里将检测和移除HPA/DCO作为准备过程，而非实际成像的一部分。一旦这些隐藏区域变得可访问，对它们进行成像并没有特殊技术要求，它们只是受驱动器配置参数保护的磁盘扇区。移除HPA或DCO会修改驱动器的配置，但不会修改其内容。

2.1 移除DCO

DCO的出现是为了让PC系统制造商使不同的驱动器型号看起来具有相同的功能。通过DCO，某些功能可以被禁用，驱动器的容量（可用扇区数）也可以减少以满足厂商的要求。在分析可疑驱动器时，识别和移除DCO是标准的取证实践。

可以使用两个hdparm命令来确定DCO是否存在并获取可用的实际扇区数：
- 第一个命令用于确定驱动器是否启用了DCO