固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文

固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文固態(tài)硬盤(SolidStateDisk簡稱SSD)即以固態(tài)的半導體芯片作為存儲介質(zhì)的大容量存儲器。根據(jù)所使用的半導體芯片可分為基于閃存(NANDFlash)和基于易失性存儲(DRAM)的固態(tài)硬盤。后者需要獨立電源只在很特殊的設(shè)備中才有使用放不屬于本文的討論范圍。基于閃存的固態(tài)硬盤構(gòu)造相對于機械硬盤(HDD)簡單的多,由外殼和印刷電路板(PCB)組成。其外殼僅起保衛(wèi)作用,核心就是印刷電路板。PCB上主要有主控芯片緩存芯片(部分低端產(chǎn)品無緩存芯片)和用于存儲數(shù)據(jù)的閃存芯片。主控芯片連接著閃存芯片和外部接口,通過合理分配數(shù)據(jù)在各個閃存芯片上的存儲來控制整個硬盤工作。優(yōu)秀的主控芯片具有數(shù)據(jù)處理速度快、算法先進等特點。緩存芯片一般設(shè)置在主控芯片旁其作用與機械硬盤類似,高速緩存芯片能夠完成數(shù)據(jù)預讀取、緩存寫入動作和存儲近期訪問數(shù)據(jù)等功能。值得注意的是某些低端產(chǎn)品為了節(jié)省成本省略了緩存芯片,其性能必然降低。閃存芯片承當了數(shù)據(jù)存儲的重任因而在電路板上數(shù)量最多,占用空間也最大。固態(tài)硬盤的容量主要由搭載的閃存芯片數(shù)量來決定。市場上常見的固態(tài)硬盤容量在16GB到l.6TB之間。(二)固態(tài)硬盤的特點固態(tài)硬盤與機械硬盤相比擬的。其主要特點有下面幾項:1.讀寫速度快:固態(tài)硬盤采用電氣信號對閃存芯片進行讀寫操作。相對于需要磁頭往復移動的機械硬盤,固態(tài)硬盤的尋道時間只要零點幾毫秒。在大數(shù)據(jù)持續(xù)讀寫、4K隨機讀寫等指標上優(yōu)勢明顯。2.防震抗摔:由于采用全固態(tài)的閃存芯片為存儲介質(zhì),不必擔憂像機械硬盤那樣磁頭和盤面碰撞。固態(tài)硬盤能夠在高速移動和震蕩的時候正常工作抗震性和抗沖擊性都強很多。3.低功耗無噪音:固態(tài)硬盤不需要驅(qū)動磁頭運動,也沒有軸承和電動機所以功耗上要低于機械硬盤且理論上沒有工作噪音。4.工作環(huán)境要求低:固態(tài)硬盤能夠在一10攝氏度到70攝氏度之間工作而機械硬盤則嬌貴的多只能工作在5一55攝氏度的區(qū)間內(nèi)。5.容量小價格高:在TB級機械硬盤面前周態(tài)硬盤的容量有著明顯的劣勢。一樣容量的情況下,固態(tài)硬盤的價格甚至要高于機械硬盤十倍以上。6.寫入壽命限制:固態(tài)硬盤使用的閃存芯片有擦寫次數(shù)限制最低端TLC芯片理論擦寫次數(shù)只要500次,即便是最好的SLC芯片也最多只要十萬次左右的擦寫次數(shù)。最重要的是固態(tài)硬盤損壞后數(shù)據(jù)是無法恢復的這是引起使用者憂慮的主要原因。(三)固態(tài)硬盤的分類1.根據(jù)底層存儲形式閃存(NANDFlash)芯片劃分,可分為SLC(Single一LevelCell)、MLC(Multi一LevelCell)以及TLC(Trina叮一玫velCell)三種。SLC構(gòu)造簡單,一個單元存儲一位(Bit)數(shù)據(jù)速度快壽命長(10000一100000次P/E)可靠性好缺點是價格較高。MLC顧名思義在一個存儲單元中實現(xiàn)多位存儲能力讀寫速度和壽命(3000次P/E)方面都遠低于SLC但由于成本只要SLC的三分之一,是當前市場上的主流。我們在取證經(jīng)過中見到的固態(tài)硬盤90%都采用MLC芯片。而TLc一個單元存儲三位(Bit)數(shù)據(jù)成本更進一步降低速度也下降的很嚴重最被用戶垢病的是其壽命很短(只要500次P/E)。但由于價格更低,三星等廠商已經(jīng)量產(chǎn)使用基于TLC芯片的固態(tài)硬盤產(chǎn)品。川頁便提一下,當前我們辦案中碰到的U盤多采取TLC芯片作為存儲介質(zhì)。2.按數(shù)據(jù)接口分類河分為常見于臺式機和家用筆記本電腦的SA-TA固態(tài)硬盤,常見于商務(wù)筆記本電腦的mSATA固態(tài)硬盤、常見于超輕薄筆記本電腦的MicroSATA(也稱uSATA)固態(tài)硬盤、常見于便攜式移動存儲的eSAI,A固態(tài)硬盤和常見于服務(wù)器的PCI一E接口固態(tài)硬盤等等。值得注意的是啟仔分廠商(如蘋果公司)使用自個定制的固態(tài)硬盤。另有M.2、CFast等等接口形式的固態(tài)硬盤,因在取證實踐中很少碰到放不在本文詳述。二、固態(tài)硬盤取證難點(一)固態(tài)硬盤數(shù)據(jù)存儲方式與機械硬盤完全不同我們知道機械硬盤的數(shù)據(jù)存儲部分主要是由存儲數(shù)據(jù)的磁盤和讀寫電磁信號的磁頭、磁頭控制器組成。讀寫數(shù)據(jù)時磁盤高速旋轉(zhuǎn),磁頭控制器帶動磁頭在磁盤上徑向移動。在兩者的共同動作下,磁頭最終定位在磁盤的指定位置進行操作。固態(tài)硬盤的存儲方式更類似于U盤。數(shù)據(jù)存儲和讀寫都在閃存芯片內(nèi)進行。閃存本身是一種可擦除可編程只讀存儲器(EEPROM),可快速完成讀、寫、抹除等三種基本操作形式。固態(tài)硬盤中的閃存被劃分出區(qū)塊(Bloek),區(qū)塊內(nèi)又劃分出很多頁面(Pages)。讀寫數(shù)據(jù)時,計算機把二進制數(shù)字信號轉(zhuǎn)為復合二進制數(shù)字信號(參加分配、核對、堆棧等指令)發(fā)送到硬盤適配器接口經(jīng)主控芯片分配后寫入到閃存的頁面上實現(xiàn)數(shù)據(jù)的存儲。(二)垃圾回收導致無法恢復刪除的數(shù)據(jù)無論是機械硬盤還是固態(tài)硬盤接到操作系統(tǒng)寫入數(shù)據(jù)指令后,會先刪除舊數(shù)據(jù)再寫入新數(shù)據(jù)。而接到刪除數(shù)據(jù)指令時硬盤僅在相應(yīng)位置進行做一個可刪除標記待進行寫入操作時真正刪除。問題在于固態(tài)硬盤中質(zhì)面是最小的數(shù)據(jù)寫入單位而區(qū)塊則是最小的數(shù)據(jù)刪除單位。如要刪除A區(qū)塊內(nèi)的AI頁面數(shù)據(jù)漢要先將該區(qū)塊內(nèi)除AI頁面外的所有數(shù)據(jù)復制到另外的區(qū)塊內(nèi),然后再去除A區(qū)塊。這樣就導致固態(tài)硬盤寫入操作時會產(chǎn)生明顯延時。為降低延時,固態(tài)硬盤制造商引入了垃圾回收(Garbageeoneetion)機制。簡單來講垃圾回收是利用系統(tǒng)空閑時間全盤掃描有效的頁面并合并整理變?yōu)橐粋€包含全部有效頁面的區(qū)塊,而那些無效的頁面和區(qū)塊都將被完全去除然后將回收的空間返回以便再次進行寫入操作。垃圾回收對取證的影響在于其不定期自動執(zhí)行去除操作,導致數(shù)據(jù)徹底刪除。由于閃存的讀寫次數(shù)有限加果數(shù)據(jù)總是存儲在某個區(qū)塊上,必將導致這個區(qū)塊提早報廢。為了保證區(qū)塊平衡使用,避免某些區(qū)塊提早損耗而影響到整個硬盤的使用周態(tài)硬盤中采用平衡磨損(WearLevel-ing)機制。它能夠盡可能地將文件平均分配到每一個區(qū)塊保證對每一個閃存區(qū)塊的擦寫(P/E)次數(shù)一致,避免對某一部分區(qū)塊的過度地重復進行擦除操作而報廢,進而有效延長了固態(tài)硬盤的使用壽命。平衡磨損對取證的影響在于每個區(qū)塊都會被平衡使用,也意味著平衡擦除。操作系統(tǒng)也對固態(tài)硬盤進行了優(yōu)化,最為代表性的就是TRIM指令啟能夠讓操作系統(tǒng)通知固態(tài)硬盤哪些區(qū)塊是不再使用,這樣固態(tài)硬盤就能夠直接進行垃圾回收工作。壓RIM與垃圾回收,平衡磨損機制密切配合,確實極大的提升了固態(tài)硬盤的性能,有效的延長了固態(tài)硬盤的使用壽命。TRIM指令對取證的影響在于其保證了垃圾回收快速完成,也就是講一點在操作系統(tǒng)中刪除了一個數(shù)據(jù),固態(tài)硬盤就會很快擦除所有內(nèi)容。對于電子數(shù)據(jù)取證實踐垃圾回收、平衡磨損和壓RIM指令帶來的后果是災難性的:由于垃圾回收機制的作用用戶刪除數(shù)據(jù)后固態(tài)硬盤就會徹底清空那個區(qū)塊,而不是只刪除索引而保存數(shù)據(jù)。平衡磨損能夠保證垃圾回收平衡擦除硬盤的區(qū)塊。TRIM指令又能保證垃圾回收高效執(zhí)行。這三者相結(jié)合的最終后果是:在固態(tài)硬盤上,無法進行傳統(tǒng)的數(shù)據(jù)恢復工作而通過未分配簇查找證據(jù)文件碎片的可行性也幾乎不存在。所以對于固態(tài)硬盤而言應(yīng)將取證的重點集中在未刪除數(shù)據(jù)之上。三、常見固態(tài)硬盤裝機形式及取證對策(一)作為唯一硬盤使用這種形式最初見于蘋果MaeBookAir(MBA)系列筆記本電腦2018年第四季度Intel公司推出超極本概念后高端超極本多采取此類使用方式。當前取證工作中碰到的硬盤容量多為64GB一256哪之間。如我局偵辦的13.11.07走私固體廢物案件中犯罪嫌疑人張X(朝鮮籍)所使用的三星500TIC一A03型筆記本電腦,其主硬盤就是一64G的固體硬盤、12.02.02大連某商貿(mào)有限公司走私水果案J巳罪嫌疑人李X使用的蘋果MBA筆記本裝有120G固態(tài)硬盤。針對單一固態(tài)硬盤的計算機設(shè)備應(yīng)首先判定操作系統(tǒng)若是WindowSXP以前的操作系統(tǒng)河以進行數(shù)據(jù)恢復的嘗試加果是WindowS7及后續(xù)的操作系統(tǒng)漢應(yīng)把取證的重點放在未刪除數(shù)據(jù)上。(二)作為系統(tǒng)盤,與機械硬盤配合使用筆者稱之為l+l形式。這是當前臺式機上最常見的固態(tài)硬盤安裝方式部分筆記本用戶通過光驅(qū)位硬盤模塊可以實現(xiàn)此類方式。固態(tài)硬盤作為C盤皮裝操作系統(tǒng)和常用工作軟件J機械硬盤作為數(shù)據(jù)倉庫存儲文件,解決了容量和速度的平衡。如我局偵辦13.01.04的洪志強(化名)團伙涉嫌繞越設(shè)關(guān)地走私進口凍品案,犯罪嫌疑人王X家中所使用的臺式電腦,配有一塊金士頓128G固態(tài)硬盤和一塊希捷lT機械硬盤。針對此類電腦應(yīng)首先分析用戶的操作習慣,判定證據(jù)文件會存放于哪個硬盤內(nèi)再進行有針對性的取證工作。(三)作為高速緩存使用這種形式多見于低端超級本平臺。部分廠商基于知足Intel公司的超極本概念,為了降低成本,采用板載小容量固態(tài)硬盤(24哪一32哪)與機械硬盤組成特殊形式的磁盤陣列。這類筆記本電腦由于價格便宜,有較高的便攜性銷量較大,因而在我們?nèi)粘Ｈ∽C工作中也較為常見。針對此類電腦,固態(tài)硬盤主要用于存儲近期訪問數(shù)據(jù),提升硬盤響應(yīng)速度。用戶文件扔存放與機械硬盤之上,但由于固態(tài)硬盤與機械硬盤組成了陣列建議采用專用設(shè)備在線勘查。(四)混合硬盤,這是一種新的硬盤類型,屬于機械硬盤與固態(tài)硬盤相結(jié)合而衍生出來的產(chǎn)品除了機械硬盤必備的碟片、馬達、磁頭等等,還內(nèi)置了閃存芯片?；旌嫌脖P自動學慣用戶使用習慣將用戶經(jīng)常訪問的數(shù)據(jù)放入閃存河以到達如固態(tài)硬盤效果的讀取性能。如希捷S竹50LX003型混合硬盤擁有75OG的存儲空間(機械磁盤)和8哪的SLC閃存。此類硬盤較為少見筆者以為其閃存芯片僅起到緩存作用數(shù)據(jù)應(yīng)主要保存在機械部分因而其取證經(jīng)過應(yīng)與機械硬盤類似。綜上所述隨著固態(tài)硬盤的市場占有率會進一步提高我們在電子數(shù)據(jù)取證實踐中接觸固態(tài)硬盤的時機也越來越多。筆者以為,碰到牽涉固態(tài)硬盤的計算機設(shè)備首先要查看固態(tài)硬盤的使用方式是單一硬盤還是l+l形式抑或是僅僅作為加速緩存使用。在這里基礎(chǔ)上要了解計算機上使用操作系統(tǒng)類型,分析用戶的使用習慣確定取證的重點。針對固態(tài)硬盤和機械硬盤應(yīng)采取不同的取證方式方法和思路J同時要及時了解取證設(shè)備的更新?lián)Q代,借助專業(yè)設(shè)備,做好電子數(shù)據(jù)取證工作。以下為參考文獻:[1]GyuSangChoi;IngyuLee;MankyuSung;Im.AhybridSSDwit