第5回tktkセキュリティ勉強会〜フォレンジックの巻〜に参加したので、メモを簡単にまとめました。リンクは自分が参照するために勝手に追加してるものもあります。

    前編:『HDDデータの完全消去が不可能な理由を探る』

    • HDDの内部構造

      • 磁気ディスク
      • HSA(ヘッド,ヘッドスタックアセンブリ)
      • 制御基板(PCB)
      • ファームウェア
    • ストレージの基本をきっちり把握する - Part1 ハードディスク・ドライブの内部構造:ITpro

    • SA (Service Area)

      • ROM以外のファームウェア(SAモジュール)が記録される。
    • UA (User Area)

      • ユーザーデータが記録される。
    • SA Moduele

      • P-List (Primary Defect List)
      • G-List (Grown Defect List)
      • S.M.A.R.T ()
      • ATAパスワード
    • HDD起動の流れ

      • 電源起動
      • コントローラーがROMを読む
      • 磁気ディスクが回転開始。ヘッドがSAまで移動する
      • コントローラーがSAモジュールを読む

      • ROMの後に、SA Moduleが順番に読み込まれる。

    • 起動失敗の原因

      • SA Moduleを読むエッドが悪い
      • SA モジュールがあるディスクが悪い
      • SAモジュールの内容が悪い
    • HDD内部でのセクタ位置の管理の仕組み

      • CHS
      • Which Cylinder = Track
      • Which Head = Surface
      • Which Sector
    • ハードディスクドライブの基礎知識

    • ハードディスクの構造とパーティション by eslab

    • PBA(Physical Block Address)は物理セクタごとに割当

    • HDD内部でのセクタ位置はPBAによって管理されている。LBAではない

    • 消去アクセス難易度別にみるHDDのデータ領域3分類

    • LBAはPBAに割り当てられる

      • HDDN内部での物理セクタ位置
      • ファームウェア
      • PCでの論理セクタ位置
    • 物理セクタと論理セクタの構造

      • 製造初期
      • 出荷前検査 (不良セクタの位置を確認。そこは使わせない)
      • 新品 (各HDDの論理セクタ(LBAの割当)をあわせる)
      • 使用後
    • 同じ数のLBAがHDDに割りてられている

    • アクセス可能セクタは物理的に非連続

    • 論理的(PCからみたら)には連続

    • データ消去の対象と非対称領域

    • データ消去ソフト・ツール、Secure Eras、 DoD方式、グートマン方式

      • LBAが割り当てられたセクタのみ消去できる。
    • Enhanced Secure Erase

      • LBAが割り当てられたセクタと代替処理後の不良セクタを消去できる。
    • 証拠保全先媒体のデータ抹消に関する報告書

    • 余剰物理セクタはアクセス不可能

      • なぜならLBAが割り当てられてない
    • データの見え方はファームウェアに完全依存

    • LBAはいつも同じ物理セクタに割り当てられているわけではない

    • PARADAIS

    • PARADAIS Activation

      • 外発的なアクティベーション
      • 内発的なアクティベーション
    • データ消去

      • 全セクタを完全消去できるソフトウェアはない
    • [CB16] EXOTIC DATA RECOVERY & PARADAIS by しもがいとだい

    後編:『データ消失事故や社内不正調査及び事件捜査に役立つバイナリデータの解析Tips』