我正在遵循其他超级用户帖子中的说明: 硬盘 - 恶意软件感染后也能清除 HPA 和 DCO 等“隐藏区域”
过去几天,我一直在研究硬盘的隐藏区域,并在 Linux 中尝试使用它们。我感兴趣的两个主题是宿主保护区和设备配置覆盖。我设法扫描了我的硬盘驱动器的 HPA,发现 HPA 是已禁用,意味着它没有。
至于数据控制办公室,我执行了:
sudo hdparm --dco-identify /dev/sdb
并得到以下输出:
/dev/sdb:
DCO Checksum verified.
DCO Revision: 0x0002
The following features can be selectively disabled via DCO:
Transfer modes:
mdma0 mdma1 mdma2
udma0 udma1 udma2 udma3 udma4 udma5
Real max sectors: 1465149168
ATA command/feature sets:
SMART self_test error_log security HPA 48_bit
selective_test
WRITE_UNC_EXT
SATA command/feature sets:
NCQ interface_power_management SSP
我的问题是:
- 这意味着什么?
- DCO 到底是什么?我应该通过执行来摆脱它吗
--dco-restore
? - 恶意软件能够驻留在 DCO 中吗?
- 删除 DCO 有什么缺点吗?我不确定这是否会影响我以后在 HDD 上安装操作系统的能力。
我想确保恶意软件无法隐藏在隐藏的 HDD 区域中,并且担心那里是否有任何个人数据。
尽管我不想冒险损坏我的硬盘。
答案1
正如在 DCO(设备配置覆盖)条目中解释的那样维基百科:
设备配置覆盖 (DCO) 最初是在 ATA-6 标准中引入的,“它允许系统供应商从不同制造商处购买大小可能不同的硬盘,然后将所有硬盘配置为具有相同数量的扇区。例如,使用 DCO 使 80 GB 的硬盘在 (OS) 和 BIOS 中显示为 60 GB 的硬盘……鉴于数据有可能被放置在这些隐藏区域中,这是计算机取证调查人员关注的一个领域。取证调查人员面临的另一个问题是对带有 HPA 和/或 DCO 的硬盘进行成像。虽然某些供应商声称他们的工具能够正确检测和成像 HPA,但他们要么对 DCO 的处理保持沉默,要么表示这超出了他们的工具的能力。”