Forensisk hårddiskkloning och undersökning av hårddiskskrivskydd

by Bengtsson, Johnny

Detta examensarbete reder ut arbetsprinciperna för olika typer av hårddiskskrivskydd; hårdvaruskrivskydd, mjukvaruskrivskydd, hybridskrivskydd och bygelskrivskydd. Slutsatsen av utredningen är att endast hårdvaruskrivskydd bedöms ha tillräckligt pålitliga skyddsprinciper, vilket motiveras av dess oberoende från både hårdvara och operativsystem. Vidare undersöks hårdvaruskrivskyddet Image MASSter™ Drive Lock från Intelligent Computer Solutions (ICS). Några egentliga slutsatser gick inte dra av kretskonstruktionen, bortsett från att den är uppbyggd kring en FPGA (Xilinx Spartan-II, XC2S15) med tillhörande PROM (XC17S15APC). En egenutvecklad idé till autenticieringsmetod för hårddiskkloner föreslås som ett tillägg till arbetet. Principen bygger på att komplettera hårddiskklonen med unik information om hårddisk såväl kloningsomständigheter, vilka sammanflätas genom XOR-operation av komponenternas hashsummor. Autenticieringsmetoden kan vid sjösättning möjligen öka rättsäkerheten för både utredarna och den som står misstänkt vid en brottsutredning. Examensarbetet omfattar 20 poäng och utgör ett obligatoriskt moment i civilingenjörsutbildningen elektronikdesign som ges vid Campus Norrköping, Linköpings universitet. Arbetet är till stora delar utfört vid och på uppdrag av Statens kriminaltekniska laboratorium (SKL) i Linköping. This thesis work identifies the most common types of hard disk write blockers: Hardware Write Blocker Device (HWB), Hard Drive Software Write Block Tool (SWB), Hybrid Write Blocker Device and Write Blocking by Hard Drive Jumper Settings. A classification is made from differences in their write protection principles. Hence, only the HWB fulfills the demanded write protection properties – the independence from hardware, OS as well as additional software. Furthermore, the HWB Image MASSter™ Drive Lock from Intelligent Computer Solutions (ICS) was analyzed in accordance to the given task. Practically, no conclusions were made, except for the observation of the FPGA (Xilinx Spartan-II, XC2S15) with its program read from a PROM (XC17S15APC) – wherein the firmware secrets lies. A proposal for a hard disk clone authentication method is presented as an addendum to this work. The main idea is to add unique information about the hard disk provided by the