Методика восстановления данных на НЖМД, закрытых паролем
Всю правду про goldline.pro отзывы расскажут от реальных участников. А вот участвовать ли решать вам самостоятельно!
Рассмотрим пример использования анализатора EPOS ATA Analyzer в задачах восстановления данных на жестких дисках, закрытых с помощью парольной защиты, описываемой стандартом АТА.
Начиная со спецификации АТА-3, в стандарт АТА введена группа команд защиты -Security. С точки зрения защиты накопитель может находиться в одном из трех состояний:
1) Unlocked (открыто) – накопитель выполняет все свойственные ему команды.
2) Locked (закрыто) – накопитель отвергает все команды, связанные с передачей данных. Допустимы только команды общего управления, мониторинга состояния, управления энергопотребления и команда защиты SECURITY UNLOCK.
3) Frozen (заморожено) – накопитель отвергает все команды управления защитой, но выполняет все остальные. Из этого состояния накопитель может выйти только по аппаратному сбросу или при следующем включении питания.
В соответствии со стандартом АТА система безопасности стандартного жесткого диска поддерживает установку двух видов паролей: главного (Master password) и пользовательского (User password); и двух уровней защиты – высокого (High level) и максимального (Maximum level). При высоком уровне защиты накопитель можно открыть любым из двух паролей. При максимальном уровне устройство открывается только пользовательским (User) паролем, а по главному паролю доступна только команда стирания, при это все данные на накопителе будут стерты.
Специалисты Центра восстановления информации ЕПОС регулярно сталкиваются с проблемой получения доступа к данным на НЖМД, закрытом паролем. Для ряда моделей жестких дисков разработаны специальные аппаратно-программные средства, обеспечивающие сброс пароля. Однако перечень поддерживаемых накопителей ограничен, как правило, в него не входят устаревшие и непопулярные на локальном рынке модели, а также новейшие модели накопителей. Существует ряд способов, позволяющих «обмануть» накопитель и установить собственный пароль, а затем с его помощью получить доступ к данным.
Недостатком таких подходов является то, что они являются деструктивными по отношению к паролю. Другими словами, они обеспечивают доступ к данным, но приводят к потере самого пароля. В то же время, во многих случаях пароль является неотъемлемой составляющей нормального функционирования сложных программно-аппаратных комплексов и автоматизированных рабочих мест, на которых необходимо выполнить работы по восстановлению данных. Сброс пароля приводит к невозможности восстановить работоспособность такой системы.
Такая ситуация характерна, например, для промышленного оборудования и медицинской техники зарубежного производства. В этих системах для защиты хранящихся данных и программного обеспечения используется парольная защита НЖМД, причем пароль устанавливается на этапе производства и не сообщается владельцу оборудования. Загрузка операционной системы при этом происходит прозрачно для оператора, поскольку пароль на жесткий диск вводится автоматически на этапе загрузки BIOS. В то же время при подключении накопителя к другому ПК доступ к данным блокируется, а оборудование не будет работать, если сбросить пароль на НЖМД.
Таким образом, существующие методы восстановления данных на закрытых паролем НЖМД не всегда обеспечивают возможность сохранения и/или восстановления работоспособности оборудования, в котором установлены такие накопители. Решить подобную проблему можно путем применения в процессе восстановления данных анализатора протокола АТА, поскольку пароль передается по интерфейсу в явном виде и его можно перехватить.
Методика восстановления данных с помощью анализатора протокола EPOS ATA Analyzer на закрытом паролем НЖМД, который установлен в специализированном оборудовании, состоит из следующих этапов:
1. Восстановление работоспособности НЖМД.
При необходимости, в случае неисправности жесткого диска, выполняется комплекс технологических операций по диагностике и восстановлению его работоспособности, достаточный для выхода накопителя в состояние готовности.
2. Съем протокола обмена данными между исследуемой системой (хостом) и накопителем с помощью анализатора EPOS ATA Analyzer.
Анализатор EPOS ATA Analyzer включается в разрыв между системой и НЖМД. Сохранение протокола производится на отдельный инструментальный ПК. В табл. 2 приведены фрагменты протокола, снятого с помощью EPOS ATA Analyzer на этапе загрузки аппарата УЗИ (ультразвукового исследования).
3. Анализ протокола для определения пароля.
После сохранения протокола производится его анализ с целью определения пароля (паролей), установленного на исследуемом НЖМД.
Из табл. видно, что в записи №8 исследуемое устройство (хост) передало в накопитель команду IDENTIFY DEVICE, в ответ на которую в записи №18 накопитель вернул паспорт. Следующей командой SECURITY UNLOCK (запись №26) хост подготовил накопитель к приему пароля. В блоке данных размером 512 байт в накопитель в явном виде был передан пароль (запись №36).
Фрагмент протокола, снятого на этапе загрузки аппарата УЗИ
Изображение сектора с паролем в шестнадцатеричной форме приведено на рис. 5.
Из рис. видно, что на накопителе установлен User пароль, уровня High level (об этом говорят байты 0000h в начале сектора). Следующие 8 символов в шестнадцатеричной форме (14h, 12h, 1Fh, 14h, 19h, 1Eh, 1Fh, 1Fh) соответствуют паролю.
4. Копирование данных на исправный накопитель и восстановление информации. После ввода определенного на предыдущем этапе пароля НЖМД предоставляет доступ к сохраненным на нем данным. Это дает возможность скопировать их на исправный накопитель и при необходимости устранить логические разрушения информации.
5. Перенос восстановленных данных на целевой накопитель.
После восстановления данных они переносятся на новый или отремонтированный исходный НЖМД, после чего на него устанавливается оригинальный пароль. Благодаря этому удается сохранить работоспособность оборудования, в котором использовался накопитель.
Таким образом, существующие методы восстановления данных на закрытых паролем НЖМД не всегда обеспечивают возможность сохранения и/или восстановления работоспособности оборудования, в котором установлены такие накопители.