HPA der Festplatte (host protected area)

JonnyJon

Neuling
Thread Starter
Mitglied seit
13.08.2017
Beiträge
4
Hallo,
ich habe einige fragen zur HPA (host protected area).
Allein schon per google finde ich sehr wenig, da den Bereich wohl wenige kennen bzw sich wenige damit auseinandersetzen,
hoffe jedoch das ich hier vllt jemanden finde der sich damit auskennt.

Ich wollte meine komplette SSD mit Veracrypt verschlüsseln, samt der HPA. Damit habe ich mir jedoch schön den kompletten boot/bcd zerschossen und meine SSD unbootable gemacht.

Nun würde ich gerne wissen, wie ich den HPA Bereich löschen kann bzw so manipulieren kann, das dort NICHTS mehr geschrieben wird bzw er komplett leer bleibt.
Ich meine was bringt mir die verschlüsselung meiner SSD, wenn im endeffekt sowieso sachen im HPA gefunden werden können.

Oder wäre es möglich die gesamte SSD samt HPA zu crypten und meine kompletten Bootloader etc. vom USB stick zu laden? Sprich ich brauch dann zum booten den USB stick im PC, jedoch ist dort nur das Bootzeugs drauf und es wird NICHTS anderes drauf geschrieben.

Das Problem vorher war wohl, das WIndows oder die SSD (keine ahnung^^) selber keinen Zugriff mehr auf den Bootloader hatte, da halt auch der verschlüsselt war.


Hoffe ihr versteht wie ich das meine und könnt mir evtl. helfen.

Ich habe schon gelesen, das man den HPA unter umständen und viel aufwand auch formatieren kann, ich möchte ihn aber wie gesagt so hinbekommen, das er für immer leer bleibt bzw keine versteckten Dateien darauf gespeichert werden können.

Laut Herstellern dient dieser nur für Systemwiederherstellungen etc. Wikipedia behauptet aber was anderes, was auch mehr Sinn macht, ansonsten wäre die "Encrypt HPA" funktion von Truecrypt und Veracrypt ja unnötig.


"Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann."

Quelle: Wikipedia


Hoffe ihr könnt mir helfen,

lg
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Lies dir das mal durch: HPA Details und Manipulation


Ich glaube du schiesst hier am Ziel vorbei, im Regelfall liegen in der HPA keinerlei Nutzerdaten sondern nur Bootloader, Firmware und ähnliche Low Level Software.
OEM's legen hier teilweise Recovery Images ab, wenn dein System Eigenbau ist sollte da aber eigentlich nichts liegen.


Die Frage ist jetzt, warum willst du das nichts in der HPA liegt? Vorallem in Bezug auf deinen Auszug über die Strafverfolgungsbehörden ;)

Tante Edith sagt:

Theoretisch könnten da natürlich auch andere Daten liegen, da du aber so nicht an die HPA rankommst kann da aber auch nichts abgelegt sein ausser eben das System schreibt dort etwas hin.
Dann ist das aber vom System gewollt und nichts was die Behörden interessieren sollte :)
 
Zuletzt bearbeitet:
Das mit der Strafverfolgungsbehörde war ja nur als "Extremfall".
Ich denke wenn die es nicht schaffen, schafft es keiner.

Wenn in der HPA halt Daten liegen würden, die relevant sind, würde ne verschlüsselte Festplatte ja unnötig sein bzw würd ich sie ja umsonst verschlüsseln^^

Mich wunderts nur warum Truecrypt und Veracrypt anbieten, das man die HPA verschlüsseln kann, wenn dort eh keine relevanten Daten liegen können.
Und in Wiki steht ja auch das dort evtl. Daten liegen können, die für Leute z.B Polizei relevant sein können.

greez
 
Meistens ist die HPA nicht allzu groß, ein Bootloader, Firmware-Blob und ähnliche Daten benötigen im Regelfall auch nicht viel Platz.

Eine normale Verschlüsselung mit Veracrypt reicht aus, für mehr Sicherheit gehts dann schnell in den Enterprise Bereicht mit Self-Encrypting Disks und ähnlichen Späßen... Braucht man als "Normalo" wohl aber nicht :)
 
Laut dem Programm "OsForensic" habe ich nicht mal eine HPA.

Würde gerne auf Nr. Sicher gehen und kurz Linux installieren und dort noch mal per HDparm nach ner HPA schauen (soll wohl gründlicher sein ).

Eine Frage:
Wenn ich auf Linux keine HPA finde, gibts auf Windows auch keine oder? Also die HPA ist nicht Betriebssystemabhängig?

Danke dir auf jeden Fall schonmal :)
 
Nope ist nicht abhängig vom Betriebssystem, wenn du auf Nummer sicher gehen willst prüfe aber gerne nochmal mit Linux nach.

Musst du dafür aber nicht installieren, grml als Live-Linux mit Debian Basis reicht dafür vollkommen aus :wink:
 
Soo, hab grad per Hdparm auf Linux noch mal geschaut.

Per " sudo hdparm -N /dev/sda" kam folgendes:

976773168/976773168, HPA is disabled


Das heißt dann wohl bei mir existier keine Host protected area und ich hab mir völlig umsonst nen Kopf gemacht? :d
 
Exakt, da ist nichts wo sich Daten "verstecken" könnten ;)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh