日立環球存儲科技公司創立于2003年，它是基于IBM和日立就存儲科技業務進行戰略性整合而創建的，存儲業務是日立的五項核心業務之一。其中，日立硬盤覆蓋了適用于辦公室和家庭使用的電腦硬盤以及便于攜帶的移動硬盤等，在國內具有較高的市場占有率。在案件調查取證過程中，一線取證人員會遇到日立硬盤BIOS加密（能識別型號、LBA值、SN號）無法訪問數據的情況。這一情況往往是因為日立硬盤用戶為了防止硬盤數據泄露，而在電腦開機時進入電腦主板BIOS設置了BIOS密碼，導致出現取證人員無法訪問日立硬盤數據區的問題，影響案件的偵破速度。針對這一問題，研究一種專業技術快速有效解決日立硬盤BIOS（主要指臺式機或筆記本電腦硬盤，暫不包括移動硬盤）加密無法訪問數據區的問題，對于電子取證非常重要。

       日立硬盤主要由電路板（包含ROM信息和NVRAM信息）、盤片、磁頭三部分構成。NVRAM（非易失性內存，其中“非易失性”是指斷電后仍能保持數據）其實是電路板（PCB，Printed Circuit Board）上8位串行存取的Flash ROM芯片。這些數據非常重要，在日立硬盤的NVRAM中存儲了該硬盤的磁頭數量、固件區起始地址、ROM覆蓋模塊的校驗以及盤片適配參數等重要信息，它位于硬盤電路板上。 

【日立硬盤結構圖】

       在一般的硬盤產品中，硬盤的磁頭數量、固件區起始地址、ROM覆蓋模塊的校驗以及盤片適配參數等重要信息都存儲在ROM與磁盤固件區等位置中。而日立硬盤采用了NVRAM作為其重要參數的存儲介質，同時還添加了一項新的重要特性——即在該技術中采用數量眾多的隨機固件區起始位置，并將這些可以看作是每個硬盤惟一（這里的惟一意味著很難找到兩塊具有完全相同固件區起始位置的硬盤）對應的起始位置數據存放在了NVRAM中。這樣每塊硬盤需配合自己的NVRAM才能工作，一旦硬盤的NVRAM存儲信息損壞或丟失，操作系統以及工具軟件都將無法識別硬盤，更無法進入到硬盤固件區進行操作，硬盤將陷入癱瘓的狀態，因此硬盤的維修和數據的恢復也就無從談起。

       日立硬盤的固件主要存儲在硬盤盤片上。無論是ARM系列還是IRM系列日立硬盤，固件都有2個備份，分別是A組、B組。此外，日立硬盤的固件中還存在一個C區 ，它其實是A組的一個備份，在廠家對硬盤進行自動校準工作時固化生成，并且以后不會再改變和使用。即使一塊硬盤中的A組和B組都損壞了，C區也不會被自動啟用來代替A組或B組。此時就需要使用專門的軟件訪問C區，并利用它來重建A組和B組，以達到修復硬盤與恢復數據的目的。

       日立硬盤存在的BIOS加密情況，其本質就是人為設置了硬盤的ATA密碼（數據訪問鎖），ATA密碼被記錄在密碼模塊內。日立硬盤的密碼模塊一般有三種，即IECS、SECI與PSWD，所有專業的工具可以查看密碼模塊并且對它解鎖，而這一功能是市面上解密工具都擁有的密碼移除功能。但是，日立硬盤采用了更為嚴格的密碼保護措施：一旦硬盤在用戶模式下被鎖定了，進入到所有固件區（盤片上的固件和PCB上的固件）通道都會被鎖上，因此是不可能去讀密碼模塊并且解鎖的。而且，不同于其他廠商的硬盤，日立硬盤不會在密碼模塊內記錄純文本的ATA密碼。

       日立硬盤在用戶模式下對硬盤進行加密，實際上就是在用戶模式下對A區的密碼模塊進行了修改，修改之后的日立硬盤即可進入加密狀態。用戶模式下的固件區被加密，數據區就無法訪問。

       數據恢復四川省重點實驗室科研人員通過分析得出，加密日立硬盤的C區密碼模塊是沒有被修改和加密的。因此只需要通過安全模式訪問C區的原始密碼模塊，并利用它來恢復A組和B組，就可以達到解密硬盤與恢復數據的目的。在這里，我們需要了解一下日立硬盤的安全模式以及如何進入？

       日立硬盤有兩種模式：用戶模式和工廠模式。用戶模式就是從A區啟動固件，初始化硬盤；而工廠模式就是從C區啟動固件，初始化硬盤。在加密狀態下，處于用戶模式的硬盤無法訪問固件區，所以需要轉換硬盤到工廠模式。這個過程就是A組、C區轉換。

       日立硬盤在從用戶模式轉換到工廠模式前要設置跳線，設置硬盤為安全模式（即工作在電路板模式）；而從工廠模式轉換到用戶模式可以不需要設置跳線 ，直接更改“NVRAM”中的啟動標記字節實現。

       在日立硬盤解密的過程中，我們首先需要進入工廠模式，也就是常說的安全模式。在安全模式下，才可以訪問到C區固件。因此，需要掌握日立硬盤的工廠模式啟動標記。啟動標記記錄在日立硬盤的NVRAM信息當中。

       在訪問到C區固件之后，進行C區密碼模塊讀取，下一步就需要回寫C區原始密碼模塊到A組和B組。如果硬盤A組和B組存放密碼模塊的地址發生偏移，就會導致回寫原始密碼模塊失敗，最終導致解密失敗。

【日立硬盤解密過程示意圖】

       第一點，固件區地址發生偏移，導致無法正確讀取和寫入密碼模塊；第二點，無法正常進入日立硬盤特有的安全模式，進行C區固件的訪問。

【技術視界】系列推薦：

1、【技術視界】第1期：手機取證-手機音頻文件恢復提取技術研究

2、【技術視界】第2期：精確讀取  提高缺陷硬盤數據恢復成功率

3、【技術視界】第3期： 如何利用S.M.A.R.T.技術對硬盤進行健康體檢？

4、【技術視界】第4期： 電子取證-wd硬盤固件損壞的文件恢復提取技術研究

5、【技術視界】第5期：電子取證——智能手機定位痕跡如何快速提取？