趙 露，康艷榮，劉思棋，龍 源，郭麗莉

(1.公安部物證鑒定中心，北京100038; 2.北京北亞安數(shù)科技有限公司，北京100094)

硬盤固件是控制著硬盤進行數(shù)據(jù)讀寫、管理數(shù)據(jù)存放位置、記錄缺陷扇區(qū)等操作的特殊軟件。通常硬盤固件是不會被計算機操作系統(tǒng)識別，傳統(tǒng)檢驗設(shè)備和軟件無法訪問硬盤固件，因此在電子數(shù)據(jù)取證過程中，硬盤固件區(qū)往往不被研究人員所重視。2015年，卡巴斯基安全實驗室披露了一系列的硬盤固件區(qū)病毒［1］引起了國內(nèi)外電子物證、信息安全和數(shù)據(jù)恢復等領(lǐng)域研究人員的廣泛重視［2］。有技術(shù)能力的犯罪人員(如電信詐騙，網(wǎng)絡(luò)賭博等)可以通過修改硬盤固件將重要數(shù)據(jù)隱藏起來［3］，同時硬盤固件區(qū)隱藏的病毒具有難發(fā)現(xiàn)難清除的特點［4］，這意味著現(xiàn)有的檢驗手段和數(shù)據(jù)恢復方法有可能存在檢測不全面的風險。

硬盤固件程序一直是各硬盤廠商的核心機密，因此對于硬盤固件的研究涉及到較多的逆向分析和破解。國際上針對硬盤固件區(qū)數(shù)據(jù)的研究比較權(quán)威的是俄羅斯ACE實驗室及其出品的PC-3000 UDMA，但是對于機械硬盤市場一大巨頭的希捷硬盤目前只能做到獲取硬盤固件區(qū)系統(tǒng)文件，而不能獲取全部硬盤固件區(qū)數(shù)據(jù)。相對來說另一款市場占有率較大的西部數(shù)據(jù)硬盤固件結(jié)構(gòu)較簡單，由此展開的研究較多。研究人員分別通過聯(lián)合測試工作組(Joint Test Action Group，JTAG)標準接口連接［5］、編程器連接［6］、通用異步收發(fā)傳輸器(universal asynchronous receiver/transmitter，UART)接口連接等多種方式對西部數(shù)據(jù)某一型號硬盤的帶電可擦可編程只讀存儲器(electrically erasable programmable read only memory，EEPROM)中的引導程序進行了讀取、分析和修改［7］。也有人通過對硬盤固件區(qū)中缺陷替換機制［8］等方面來分析篡改硬盤固件對電子取證造成的影響并提出相應(yīng)策略［9］。

由于我國尚不具備硬盤固件研發(fā)技術(shù)，因此研究起步較晚，并且主要應(yīng)用于硬盤故障維修領(lǐng)域。產(chǎn)品方面如成都效率源公司推出的故障硬盤數(shù)據(jù)恢復產(chǎn)品、北京北亞硬盤固件維修工具等，可以解決硬盤固件問題造成的數(shù)據(jù)丟失等問題。學術(shù)研究方面，國內(nèi)一些研究人員對硬盤固件的虛擬［10］、故障預(yù)測［11］、硬盤固件病毒防治［12］和硬盤固件漏洞定位［13］等方面進行了研究，不過這些研究主要是應(yīng)用PC-3000等類似工具獲取到硬盤固件數(shù)據(jù)后進行硬盤固件結(jié)構(gòu)的分析及其它應(yīng)用，沒有涉及到對硬盤固件數(shù)據(jù)提取等前期基本技術(shù)方法的研究。

本文將對希捷官方硬盤固件升級包進行逆向分析，由此給出一種基于串口模式獲取希捷硬盤固件級工廠指令的方法。首先，通過清空電路板只讀內(nèi)存鏡像(read only memory image，ROMI)數(shù)據(jù)后，進行串口操作的方式，確定工廠指令操作硬盤的可行性;再利用希捷廠商硬盤固件升級包中數(shù)據(jù)進行分析，發(fā)現(xiàn)其中的工廠指令幫助文檔，用其獲取工廠指令工作條件及使用方法;最后，通過獲取到的工廠指令進行硬盤固件讀取實驗，證明了通過工廠指令方式操作硬盤固件的可行性和有效性。

1 硬盤工廠指令工作條件

1.1 串口模式

希捷機械硬盤除了數(shù)據(jù)接口和供電接口外，還有一個接口平時并不常用，就是硬盤的串口，在硬盤正常的數(shù)據(jù)讀寫過程中是不需要使用的。這個接口是廠商在硬盤出廠前進行調(diào)試，或者維修硬盤故障時使用的接口［14］。基于硬盤串口的這些作用，嘗試通過串口對硬盤參數(shù)信息等硬盤固件數(shù)據(jù)進行讀取和修改。

為了確定通過串口模式使用工廠指令方式對硬盤固件進行操作的可行性，首先需要確定串口模式下的工廠指令在硬盤中的工作條件，明確通過工廠指令方式是否能夠?qū)ο＝萦脖P進行足夠的控制權(quán)，從而獲取到硬盤固件區(qū)的全部數(shù)據(jù)。將電路板ROM中的數(shù)據(jù)全部清空，再通過超級終端軟件［15］發(fā)送命令觀察硬盤是否還會顯示回顯數(shù)據(jù)。如果仍然能夠顯示則表明工廠指令運行級別低于硬盤電路板ROM硬盤固件，由電路板主芯片提供對外數(shù)據(jù)連接，可以通過工廠指令方式對希捷硬盤進行完全控制，包括由于硬盤固件或者壞道等原因不能正常識別的硬盤。

首先將一塊希捷硬盤電路板連接到編程器并使用編程器清空電路板上全部ROM數(shù)據(jù)，打開超級終端軟件，使用通用串行總線(universal serial bus，USB) 轉(zhuǎn)邏輯門電路(transistor-transistor logic，TTL)轉(zhuǎn)接線連接硬盤，可以看到硬盤主芯片的回顯信息為圖1，說明希捷硬盤在沒有電路板ROM的情況下，主芯片可以獨立工作，而且支持對外進行TTL連接。從回顯信息中可以查看到該模式下支持的命令有“DS”、“AP”、“WT”等一系列命令。在當前模式下輸入回顯信息列出的任一指令，如“AP10”，硬盤依舊有響應(yīng)，這說明工廠指令運行在希捷硬盤最底層，通過工廠指令方式對希捷硬盤固件進行操作的方法是可行的。

圖1 電路板ROM程序清空后硬盤回顯信息

1.2 硬盤固件更新程序分離

通過串口模式對硬盤固件進行操作需要輸入一些特殊命令，但因操作硬盤固件的指令是硬盤廠家的核心機密，無法在公開渠道獲取到。不過，希捷公司對出廠的硬盤會不定期發(fā)布硬盤固件升級包來進行一些硬盤固件修補操作，以提高硬盤性能和修復一些錯誤，這其中必然包含部分硬盤固件數(shù)據(jù)。作為唯一可以獲取到官方硬盤固件數(shù)據(jù)的合法途徑，對硬盤固件升級包進行研究是掌握硬盤固件結(jié)構(gòu)和指令功能的一個方法，因此，希捷官方發(fā)布的硬盤固件升級包成為了用來研究硬盤固件指令的一個對象。

以希捷“Barracuda 7200.12”系列硬盤為例，該系列硬盤在希捷官網(wǎng)提供硬盤固件修復程序，新的硬盤固件版本為CC49［16］，通過官網(wǎng)查詢該版本硬盤固件適用型號及對應(yīng)容量如表1。

通過希捷官方網(wǎng)站下載后綴名為“.iso”的硬盤固件升級程序，對其進行解壓，得到如圖2中的文件。其中如“Autorun.inf”、“README.txt”等文件的作用比較一目了然不再贅述，另外發(fā)現(xiàn)一個名為“PH-CC49.ima”的文件，通過后綴名分析該文件為一個軟盤鏡像文件。

使用16進制查看器軟件(如 WinHex)打開“PH-CC49.ima”文件，如圖 3，從解析出的文件頭信息中可知該文件是一個被FreeDOS［17］操作系統(tǒng)格式化出來的FAT12文件系統(tǒng)鏡像。

表1 CC49版本硬盤固件升級包適用硬盤型號

圖2 CC49版本硬盤固件升級包解壓縮

圖3 “PH-CC49.ima”文件頭解析

進一步解析該文件系統(tǒng)，發(fā)現(xiàn)一個名為“LOD.zip”的壓縮文件，如圖4，提取并解壓縮該文件，如圖5。發(fā)現(xiàn)文件中有三個后綴名為“.LOD”的未知文件，且文件名有規(guī)則性，分別為“PHCC491H、PHCC492H、PHCC494H”。

通過表1可知“CC49”版本的硬盤固件支持硬盤容量從160G到1T不等，所以，分析“1H”、“2H”、“4H”分別代表對應(yīng)支持的硬盤的磁頭數(shù)。例如ST3160318AS是160G硬盤，硬盤中只有一個磁頭所以使用PHCC491H文件進行硬盤固件升級，ST31000528AS是1T容量有4個磁頭就需要使用PHCC494H進行升級。

圖4 “PH-CC49.ima”文件系統(tǒng)解析

圖5 “LOD.zip”文件解壓縮

2 硬盤固件級工廠指令分析

2.1 “.LOD”文件分析

繼續(xù)對LOD文件進行分析，發(fā)現(xiàn)大量美國信息交換標準代碼(American standard code for information interchange，ASCII)字符，類似于一種特殊命令，而且這些命令自帶幫助說明，并有工作級別區(qū)分，且工作級別眾多，有“6級”、“全部級別”等和改變指令級別的命令“/”，如圖6。已知在某個級別下的Q命令為硬盤所有指令的詳細幫助文檔，通過運行這個命令可以對了解硬盤固件的大體信息有很大程度的幫助。

使用USB轉(zhuǎn)TTL轉(zhuǎn)接線連接到硬盤串口，通過超級終端軟件從1級到Z級依次測試能夠顯示完整指令幫助信息的Q命令的工作級別。測試完成發(fā)現(xiàn)工作在C級別下的Q命令為指令幫助，可以打印出硬盤所支持的所有指令參數(shù)，如圖7，可以通過指令的描述信息進一步研究指令的具體功能。

圖6 LOD文件中的部分指令級別說明

圖7 C級別下的Q命令功能說明

2.2 工廠指令功能分析

通過對各命令級別和指令的功能進行分析，發(fā)現(xiàn)通過工廠指令可以實現(xiàn)很多重要的功能，如參數(shù)修改，清空自我監(jiān)測分析與報告技術(shù)(selfmonitoring， analysis and reporting technology，SMART)表中數(shù)據(jù)，硬盤固件數(shù)據(jù)讀取等多種功能，由于工廠指令級別和指令眾多無法詳述，現(xiàn)將整理出的部分較常用的工廠指令功能和指令對應(yīng)級別列舉如表2。

表2 常用希捷機械硬盤工廠指令及功能

3 硬盤固件工廠指令應(yīng)用

通過對工廠指令功能分析發(fā)現(xiàn)硬盤工廠指令可以實現(xiàn)很多功能，比如硬盤固件的讀取，硬盤參數(shù)修改等等，由于硬盤固件數(shù)據(jù)的完整讀取是進行硬盤固件結(jié)構(gòu)分析的前提，選取比較有代表性的幾款希捷硬盤型號，并分別通過工廠指令方式和使用PC-3000進行硬盤固件數(shù)據(jù)讀取，并對比讀取數(shù)據(jù)大小。

首先通過超級終端獲取每塊硬盤固件區(qū)范圍，計算硬盤固件區(qū)數(shù)據(jù)大小并記錄;再使用PC-3000讀取硬盤固件區(qū)數(shù)據(jù)，記錄讀取數(shù)據(jù)大小;最后再使用上文獲取的工廠指令方式來讀取同一塊硬盤的硬盤固件區(qū)數(shù)據(jù)，記錄其讀取的數(shù)據(jù)大小。

實驗結(jié)果如表3。實驗結(jié)果顯示:

(1)通過PC-3000讀系統(tǒng)文件功能獲取的硬盤固件數(shù)據(jù)小于硬盤固件區(qū)數(shù)據(jù)實際大小;

(2)通過工廠指令方式讀取的硬盤固件區(qū)數(shù)據(jù)大于通過PC-3000讀系統(tǒng)文件功能獲取到的硬盤固件區(qū)數(shù)據(jù)大小;

(3)通過工廠指令方式讀取硬盤固件區(qū)數(shù)據(jù)大小與硬盤固件區(qū)數(shù)據(jù)實際大小基本一致，但是部分型號讀取的硬盤固件區(qū)數(shù)據(jù)與硬盤固件區(qū)數(shù)據(jù)實際大小有所差異。

經(jīng)分析，造成個別型號硬盤使用工廠指令方式讀取的硬盤固件鏡像數(shù)據(jù)與硬盤固件區(qū)數(shù)據(jù)實際大小存在差異的原因是由于硬盤固件區(qū)數(shù)據(jù)實際大小是根據(jù)硬盤固件區(qū)起始地址和結(jié)束地址計算出來的，這其中包含沒有被磁化使用的磁道，這樣的磁道無法存儲數(shù)據(jù)，因此在使用工廠指令方式進行讀取的時候也無法讀取，造成讀取數(shù)據(jù)比硬盤固件區(qū)實際數(shù)據(jù)大小略小。

通過以上實驗結(jié)果和分析，說明通過工廠指令方式可以讀取希捷硬盤固件鏡像數(shù)據(jù)，并且讀取硬盤固件鏡像數(shù)據(jù)較完整，結(jié)果優(yōu)于通過PC-3000讀系統(tǒng)文件功能獲取的硬盤固件數(shù)據(jù)。

表3 硬盤固件讀取實驗結(jié)果

4 結(jié)語

硬盤固件數(shù)據(jù)是控制硬盤運行的核心程序，對于硬盤固件的研究無論在電子取證、信息安全、數(shù)據(jù)恢復等領(lǐng)域都是非常重要的課題，而對于硬盤固件的研究應(yīng)該建立在對硬盤固件數(shù)據(jù)的完全獲取和操作的基礎(chǔ)之上。文中提出的通過逆向分析希捷硬盤固件升級程序得到工廠指令，再在串口模式下通過工廠指令操作希捷硬盤的方法，通過實驗證明了可以有效對希捷硬盤固件數(shù)據(jù)進行完整提取，為電子取證和信息安全領(lǐng)域的硬盤固件研究提供一種可行的技術(shù)方法。由于篇幅和研究時間有限，文中僅僅介紹了硬盤固件級工廠指令的一種應(yīng)用方法，在獲取到硬盤固件鏡像之后通過對硬盤固件的分析可以產(chǎn)生更多應(yīng)用，如篡改檢測，隱藏數(shù)據(jù)恢復等，今后課題組將對工廠指令的應(yīng)用方法進行更多研究，并將研究拓展到更多型號和品牌的硬盤。