存储介质与Linux在数字取证中的应用
存储介质相关知识
- 隐藏扇区与服务维护区域
- 隐藏扇区(HPA和DCO):在“Enable Access to Hidden Sectors”中有相关内容。关于与取证相关的HPA和DCO,可在 “Hidden Disk Areas: HPA and DCO” 中找到更详细的描述。同时,在https://www.schneier.com/blog/archives/2014/02/swap_nsa_exploi.html 和https://leaksource.files.wordpress.com/2013/12/nsa-ant-swap.jpg 可获取国家利用HPA进行攻击的信息。
- 硬盘服务和维护区域:硬盘的某些维护区域通常无法使用标准Linux工具访问,这些区域包含坏扇区列表和厂商服务扇区(有时称为负扇区)。要访问这些区域,需要专门的磁盘诊断软件和硬件。注意不要将磁盘的服务区域与HPA或DCO混淆,HPA和DCO区域可使用标准ATA命令和方法轻松访问,但磁盘的服务区域不行。
- USB连接的SCSI协议
- 协议介绍:USB提供了两种访问大容量存储类设备的模式:较常见的BOT和较新的UASP。随着USB3和USB3.1速度的提高,开发了一种更高效的USB大容量存储类传输协议——USB Attached SCSI Protocol (UASP
