Ergebnis 1 bis 8 von 8
  1. #1
    Matrose
    Registriert seit
    13.08.2017
    Beiträge
    4


    Standard HPA der Festplatte (host protected area)

    Hallo,
    ich habe einige fragen zur HPA (host protected area).
    Allein schon per google finde ich sehr wenig, da den Bereich wohl wenige kennen bzw sich wenige damit auseinandersetzen,
    hoffe jedoch das ich hier vllt jemanden finde der sich damit auskennt.

    Ich wollte meine komplette SSD mit Veracrypt verschlüsseln, samt der HPA. Damit habe ich mir jedoch schön den kompletten boot/bcd zerschossen und meine SSD unbootable gemacht.

    Nun würde ich gerne wissen, wie ich den HPA Bereich löschen kann bzw so manipulieren kann, das dort NICHTS mehr geschrieben wird bzw er komplett leer bleibt.
    Ich meine was bringt mir die verschlüsselung meiner SSD, wenn im endeffekt sowieso sachen im HPA gefunden werden können.

    Oder wäre es möglich die gesamte SSD samt HPA zu crypten und meine kompletten Bootloader etc. vom USB stick zu laden? Sprich ich brauch dann zum booten den USB stick im PC, jedoch ist dort nur das Bootzeugs drauf und es wird NICHTS anderes drauf geschrieben.

    Das Problem vorher war wohl, das WIndows oder die SSD (keine ahnung^^) selber keinen Zugriff mehr auf den Bootloader hatte, da halt auch der verschlüsselt war.


    Hoffe ihr versteht wie ich das meine und könnt mir evtl. helfen.

    Ich habe schon gelesen, das man den HPA unter umständen und viel aufwand auch formatieren kann, ich möchte ihn aber wie gesagt so hinbekommen, das er für immer leer bleibt bzw keine versteckten Dateien darauf gespeichert werden können.

    Laut Herstellern dient dieser nur für Systemwiederherstellungen etc. Wikipedia behauptet aber was anderes, was auch mehr Sinn macht, ansonsten wäre die "Encrypt HPA" funktion von Truecrypt und Veracrypt ja unnötig.


    "Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

    Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann."

    Quelle: Wikipedia


    Hoffe ihr könnt mir helfen,

    lg
    Geändert von JonnyJon (13.08.17 um 09:01 Uhr)

  2. Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

  3. #2
    l0n
    l0n ist offline
    Bootsmann Avatar von l0n
    Registriert seit
    13.03.2005
    Ort
    Amstetten, nähe Ulm
    Beiträge
    592


    • Systeminfo
      • Motherboard:
      • MSI Bazooka
      • CPU:
      • RyZen 7 1700
      • Systemname:
      • RyZen
      • Kühlung:
      • LuKü
      • Gehäuse:
      • Cooltek Antiphon
      • RAM:
      • 16GB G.Skill Ripjaws
      • Grafik:
      • Radeon RX480-8G
      • Storage:
      • Samsung 850 Evo 500GB + Storage Server
      • Monitor:
      • LG 24EB23
      • Netzwerk:
      • Onboard NIC
      • Sound:
      • AC 97 HD Audio @ HK AVR10
      • Netzteil:
      • Corsair CX550M
      • Betriebssystem:
      • Windows 10 x64 Home
      • Sonstiges:
      • XBOX 360
      • Notebook:
      • Asus UX360UAK
      • Photoequipment:
      • Cam vom Handy
      • Handy:
      • iPhone 7 Matt Schwarz 32GB

    Standard

    Lies dir das mal durch: HPA Details und Manipulation


    Ich glaube du schiesst hier am Ziel vorbei, im Regelfall liegen in der HPA keinerlei Nutzerdaten sondern nur Bootloader, Firmware und ähnliche Low Level Software.
    OEM's legen hier teilweise Recovery Images ab, wenn dein System Eigenbau ist sollte da aber eigentlich nichts liegen.


    Die Frage ist jetzt, warum willst du das nichts in der HPA liegt? Vorallem in Bezug auf deinen Auszug über die Strafverfolgungsbehörden

    Tante Edith sagt:

    Theoretisch könnten da natürlich auch andere Daten liegen, da du aber so nicht an die HPA rankommst kann da aber auch nichts abgelegt sein ausser eben das System schreibt dort etwas hin.
    Dann ist das aber vom System gewollt und nichts was die Behörden interessieren sollte
    Geändert von l0n (13.08.17 um 09:36 Uhr)
    N52B30 on Z6HP26 @ E61


    Zitat Zitat von Nemesys
    ich bin von höhlenmenschen umgeben. kann man die erde resetten oder den server wechseln?

  4. #3
    Matrose
    Registriert seit
    13.08.2017
    Beiträge
    4
    Themenstarter


    Standard

    Das mit der Strafverfolgungsbehörde war ja nur als "Extremfall".
    Ich denke wenn die es nicht schaffen, schafft es keiner.

    Wenn in der HPA halt Daten liegen würden, die relevant sind, würde ne verschlüsselte Festplatte ja unnötig sein bzw würd ich sie ja umsonst verschlüsseln^^

    Mich wunderts nur warum Truecrypt und Veracrypt anbieten, das man die HPA verschlüsseln kann, wenn dort eh keine relevanten Daten liegen können.
    Und in Wiki steht ja auch das dort evtl. Daten liegen können, die für Leute z.B Polizei relevant sein können.

    greez

  5. #4
    l0n
    l0n ist offline
    Bootsmann Avatar von l0n
    Registriert seit
    13.03.2005
    Ort
    Amstetten, nähe Ulm
    Beiträge
    592


    • Systeminfo
      • Motherboard:
      • MSI Bazooka
      • CPU:
      • RyZen 7 1700
      • Systemname:
      • RyZen
      • Kühlung:
      • LuKü
      • Gehäuse:
      • Cooltek Antiphon
      • RAM:
      • 16GB G.Skill Ripjaws
      • Grafik:
      • Radeon RX480-8G
      • Storage:
      • Samsung 850 Evo 500GB + Storage Server
      • Monitor:
      • LG 24EB23
      • Netzwerk:
      • Onboard NIC
      • Sound:
      • AC 97 HD Audio @ HK AVR10
      • Netzteil:
      • Corsair CX550M
      • Betriebssystem:
      • Windows 10 x64 Home
      • Sonstiges:
      • XBOX 360
      • Notebook:
      • Asus UX360UAK
      • Photoequipment:
      • Cam vom Handy
      • Handy:
      • iPhone 7 Matt Schwarz 32GB

    Standard

    Meistens ist die HPA nicht allzu groß, ein Bootloader, Firmware-Blob und ähnliche Daten benötigen im Regelfall auch nicht viel Platz.

    Eine normale Verschlüsselung mit Veracrypt reicht aus, für mehr Sicherheit gehts dann schnell in den Enterprise Bereicht mit Self-Encrypting Disks und ähnlichen Späßen... Braucht man als "Normalo" wohl aber nicht
    N52B30 on Z6HP26 @ E61


    Zitat Zitat von Nemesys
    ich bin von höhlenmenschen umgeben. kann man die erde resetten oder den server wechseln?

  6. #5
    Matrose
    Registriert seit
    13.08.2017
    Beiträge
    4
    Themenstarter


    Standard

    Laut dem Programm "OsForensic" habe ich nicht mal eine HPA.

    Würde gerne auf Nr. Sicher gehen und kurz Linux installieren und dort noch mal per HDparm nach ner HPA schauen (soll wohl gründlicher sein ).

    Eine Frage:
    Wenn ich auf Linux keine HPA finde, gibts auf Windows auch keine oder? Also die HPA ist nicht Betriebssystemabhängig?

    Danke dir auf jeden Fall schonmal

  7. #6
    l0n
    l0n ist offline
    Bootsmann Avatar von l0n
    Registriert seit
    13.03.2005
    Ort
    Amstetten, nähe Ulm
    Beiträge
    592


    • Systeminfo
      • Motherboard:
      • MSI Bazooka
      • CPU:
      • RyZen 7 1700
      • Systemname:
      • RyZen
      • Kühlung:
      • LuKü
      • Gehäuse:
      • Cooltek Antiphon
      • RAM:
      • 16GB G.Skill Ripjaws
      • Grafik:
      • Radeon RX480-8G
      • Storage:
      • Samsung 850 Evo 500GB + Storage Server
      • Monitor:
      • LG 24EB23
      • Netzwerk:
      • Onboard NIC
      • Sound:
      • AC 97 HD Audio @ HK AVR10
      • Netzteil:
      • Corsair CX550M
      • Betriebssystem:
      • Windows 10 x64 Home
      • Sonstiges:
      • XBOX 360
      • Notebook:
      • Asus UX360UAK
      • Photoequipment:
      • Cam vom Handy
      • Handy:
      • iPhone 7 Matt Schwarz 32GB

    Standard

    Nope ist nicht abhängig vom Betriebssystem, wenn du auf Nummer sicher gehen willst prüfe aber gerne nochmal mit Linux nach.

    Musst du dafür aber nicht installieren, grml als Live-Linux mit Debian Basis reicht dafür vollkommen aus
    N52B30 on Z6HP26 @ E61


    Zitat Zitat von Nemesys
    ich bin von höhlenmenschen umgeben. kann man die erde resetten oder den server wechseln?

  8. #7
    Matrose
    Registriert seit
    13.08.2017
    Beiträge
    4
    Themenstarter


    Standard

    Soo, hab grad per Hdparm auf Linux noch mal geschaut.

    Per " sudo hdparm -N /dev/sda" kam folgendes:

    976773168/976773168, HPA is disabled


    Das heißt dann wohl bei mir existier keine Host protected area und ich hab mir völlig umsonst nen Kopf gemacht?

  9. #8
    l0n
    l0n ist offline
    Bootsmann Avatar von l0n
    Registriert seit
    13.03.2005
    Ort
    Amstetten, nähe Ulm
    Beiträge
    592


    • Systeminfo
      • Motherboard:
      • MSI Bazooka
      • CPU:
      • RyZen 7 1700
      • Systemname:
      • RyZen
      • Kühlung:
      • LuKü
      • Gehäuse:
      • Cooltek Antiphon
      • RAM:
      • 16GB G.Skill Ripjaws
      • Grafik:
      • Radeon RX480-8G
      • Storage:
      • Samsung 850 Evo 500GB + Storage Server
      • Monitor:
      • LG 24EB23
      • Netzwerk:
      • Onboard NIC
      • Sound:
      • AC 97 HD Audio @ HK AVR10
      • Netzteil:
      • Corsair CX550M
      • Betriebssystem:
      • Windows 10 x64 Home
      • Sonstiges:
      • XBOX 360
      • Notebook:
      • Asus UX360UAK
      • Photoequipment:
      • Cam vom Handy
      • Handy:
      • iPhone 7 Matt Schwarz 32GB

    Standard

    Exakt, da ist nichts wo sich Daten "verstecken" könnten
    N52B30 on Z6HP26 @ E61


    Zitat Zitat von Nemesys
    ich bin von höhlenmenschen umgeben. kann man die erde resetten oder den server wechseln?

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •