3 votos

hdparm: ¿qué hace realmente --dco-restore?

Estoy siguiendo las instrucciones de este otro post de SuperUser: Disco duro - borre las "áreas ocultas" como HPA y DCO también después de la infección de malware

Durante los últimos días he estado investigando las zonas ocultas de un disco duro y he estado experimentando con ellas en Linux. Dos temas que despertaron mi interés fueron el Zona protegida de acogida y el Superposición de la configuración del dispositivo . Conseguí escanear mi disco duro en busca del HPA y encontré que el HPA es discapacitados , lo que significa que no tiene ninguno.

En cuanto a la DCO lo ejecuté:

sudo hdparm --dco-identify /dev/sdb

Y obtuve la siguiente salida:

/dev/sdb:
DCO Checksum verified.
DCO Revision: 0x0002
The following features can be selectively disabled via DCO:
Transfer modes:
mdma0 mdma1 mdma2
udma0 udma1 udma2 udma3 udma4 udma5
Real max sectors: 1465149168
ATA command/feature sets:
SMART self_test error_log security HPA 48_bit
selective_test
WRITE_UNC_EXT
SATA command/feature sets:
NCQ interface_power_management SSP

Mis preguntas son:

  1. ¿Qué significa eso?
  2. ¿Qué es exactamente un ACA? ¿Debo deshacerme de él ejecutando --dco-restore ?
  3. ¿Puede el malware residir en el ACA?
  4. ¿Hay alguna desventaja en eliminar el ACA? No estoy seguro de si esto afectará a mi capacidad para instalar un sistema operativo en el disco duro más tarde.

Quiero asegurarme de que el malware no puede esconderse en las zonas ocultas del disco duro y me preocupa si hay datos personales que residen allí.

Aunque no quiero arriesgarme a brickear mi disco duro.

1voto

JakeGould Puntos 17382

Como se explica en la entrada DCO (device configuration overlay) en Wikipedia :

El Device Configuration Overlay (DCO), que se introdujo por primera vez en el estándar ATA-6, "permite a los proveedores de sistemas comprar discos duros de diferentes fabricantes con tamaños potencialmente diferentes, y luego configurar todos los discos duros para que tengan el mismo número de sectores". Un ejemplo de esto sería utilizar el DCO para que un disco duro de 80 gigabytes aparezca como un disco duro de 60 gigabytes tanto para el (SO) como para la BIOS.... Dada la posibilidad de colocar datos en estas áreas ocultas, se trata de un área de preocupación para los investigadores de informática forense. Un problema adicional para los investigadores forenses es la obtención de imágenes del disco duro que contiene la HPA y/o el DCO. Mientras que algunos proveedores afirman que sus herramientas son capaces de detectar y crear imágenes del HPA, no dicen nada sobre el manejo del DCO o indican que esto está más allá de las capacidades de su herramienta".

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: