固態硬盤取證難點及常見固態硬盤取證對策,司法制度論文固態硬盤(SolidStateDisk簡稱SSD)即以固態的半導體芯片作為存儲介質的大容量存儲器。根據所使用的半導體芯片可分為基于閃存(NANDFlash)和基于易失性存儲(DRAM)的固態硬盤。后者需要獨立電源只在很特殊的設備中才有使用放不屬于本文的討論范圍。基于閃存的固態硬盤構造相對于機械硬盤(HDD)簡單的多,由外殼和印刷電路板(PCB)組成。其外殼僅起保衛作用,核心就是印刷電路板。PCB上主要有主控芯片緩存芯片(部分低端產品無緩存芯片)和用于存儲數據的閃存芯片。主控芯片連接著閃存芯片和外部接口,通過合理分配數據在各個閃存芯片上的存儲來控制整個硬盤工作。優秀的主控芯片具有數據處理速度快、算法先進等特點。緩存芯片一般設置在主控芯片旁其作用與機械硬盤類似,高速緩存芯片能夠完成數據預讀取、緩存寫入動作和存儲近期訪問數據等功能。值得注意的是某些低端產品為了節省成本省略了緩存芯片,其性能必然降低。閃存芯片承當了數據存儲的重任因而在電路板上數量最多,占用空間也最大。固態硬盤的容量主要由搭載的閃存芯片數量來決定。市場上常見的固態硬盤容量在16GB到l.6TB之間。(二)固態硬盤的特點固態硬盤與機械硬盤相比擬的。其主要特點有下面幾項:1.讀寫速度快:固態硬盤采用電氣信號對閃存芯片進行讀寫操作。相對于需要磁頭往復移動的機械硬盤,固態硬盤的尋道時間只要零點幾毫秒。在大數據持續讀寫、4K隨機讀寫等指標上優勢明顯。2.防震抗摔:由于采用全固態的閃存芯片為存儲介質,不必擔憂像機械硬盤那樣磁頭和盤面碰撞。固態硬盤能夠在高速移動和震蕩的時候正常工作抗震性和抗沖擊性都強很多。3.低功耗無噪音:固態硬盤不需要驅動磁頭運動,也沒有軸承和電動機所以功耗上要低于機械硬盤且理論上沒有工作噪音。4.工作環境要求低:固態硬盤能夠在一10攝氏度到70攝氏度之間工作而機械硬盤則嬌貴的多只能工作在5一55攝氏度的區間內。5.容量小價格高:在TB級機械硬盤面前周態硬盤的容量有著明顯的劣勢。一樣容量的情況下,固態硬盤的價格甚至要高于機械硬盤十倍以上。6.寫入壽命限制:固態硬盤使用的閃存芯片有擦寫次數限制最低端TLC芯片理論擦寫次數只要500次,即便是最好的SLC芯片也最多只要十萬次左右的擦寫次數。最重要的是固態硬盤損壞后數據是無法恢復的這是引起使用者憂慮的主要原因。(三)固態硬盤的分類1.根據底層存儲形式閃存(NANDFlash)芯片劃分,可分為SLC(Single一LevelCell)、MLC(Multi一LevelCell)以及TLC(Trina叮一玫velCell)三種。SLC構造簡單,一個單元存儲一位(Bit)數據速度快壽命長(10000一100000次P/E)可靠性好缺點是價格較高。MLC顧名思義在一個存儲單元中實現多位存儲能力讀寫速度和壽命(3000次P/E)方面都遠低于SLC但由于成本只要SLC的三分之一,是當前市場上的主流。我們在取證經過中見到的固態硬盤90%都采用MLC芯片。而TLc一個單元存儲三位(Bit)數據成本更進一步降低速度也下降的很嚴重最被用戶垢病的是其壽命很短(只要500次P/E)。但由于價格更低,三星等廠商已經量產使用基于TLC芯片的固態硬盤產品。川頁便提一下,當前我們辦案中碰到的U盤多采取TLC芯片作為存儲介質。2.按數據接口分類河分為常見于臺式機和家用筆記本電腦的SA-TA固態硬盤,常見于商務筆記本電腦的mSATA固態硬盤、常見于超輕薄筆記本電腦的MicroSATA(也稱uSATA)固態硬盤、常見于便攜式移動存儲的eSAI,A固態硬盤和常見于服務器的PCI一E接口固態硬盤等等。值得注意的是啟仔分廠商(如蘋果公司)使用自個定制的固態硬盤。另有M.2、CFast等等接口形式的固態硬盤,因在取證實踐中很少碰到放不在本文詳述。二、固態硬盤取證難點(一)固態硬盤數據存儲方式與機械硬盤完全不同我們知道機械硬盤的數據存儲部分主要是由存儲數據的磁盤和讀寫電磁信號的磁頭、磁頭控制器組成。讀寫數據時磁盤高速旋轉,磁頭控制器帶動磁頭在磁盤上徑向移動。在兩者的共同動作下,磁頭最終定位在磁盤的指定位置進行操作。固態硬盤的存儲方式更類似于U盤。數據存儲和讀寫都在閃存芯片內進行。閃存本身是一種可擦除可編程只讀存儲器(EEPROM),可快速完成讀、寫、抹除等三種基本操作形式。固態硬盤中的閃存被劃分出區塊(Bloek),區塊內又劃分出很多頁面(Pages)。讀寫數據時,計算機把二進制數字信號轉為復合二進制數字信號(參加分配、核對、堆棧等指令)發送到硬盤適配器接口經主控芯片分配后寫入到閃存的頁面上實現數據的存儲。(二)垃圾回收導致無法恢復刪除的數據無論是機械硬盤還是固態硬盤接到操作系統寫入數據指令后,會先刪除舊數據再寫入新數據。而接到刪除數據指令時硬盤僅在相應位置進行做一個可刪除標記待進行寫入操作時真正刪除。問題在于固態硬盤中質面是最小的數據寫入單位而區塊則是最小的數據刪除單位。如要刪除A區塊內的AI頁面數據漢要先將該區塊內除AI頁面外的所有數據復制到另外的區塊內,然后再去除A區塊。這樣就導致固態硬盤寫入操作時會產生明顯延時。為降低延時,固態硬盤制造商引入了垃圾回收(Garbageeoneetion)機制。簡單來講垃圾回收是利用系統空閑時間全盤掃描有效的頁面并合并整理變為一個包含全部有效頁面的區塊,而那些無效的頁面和區塊都將被完全去除然后將回收的空間返回以便再次進行寫入操作。垃圾回收對取證的影響在于其不定期自動執行去除操作,導致數據徹底刪除。由于閃存的讀寫次數有限加果數據總是存儲在某個區塊上,必將導致這個區塊提早報廢。為了保證區塊平衡使用,避免某些區塊提早損耗而影響到整個硬盤的使用周態硬盤中采用平衡磨損(WearLevel-ing)機制。它能夠盡可能地將文件平均分配到每一個區塊保證對每一個閃存區塊的擦寫(P/E)次數一致,避免對某一部分區塊的過度地重復進行擦除操作而報廢,進而有效延長了固態硬盤的使用壽命。平衡磨損對取證的影響在于每個區塊都會被平衡使用,也意味著平衡擦除。操作系統也對固態硬盤進行了優化,最為代表性的就是TRIM指令啟能夠讓操作系統通知固態硬盤哪些區塊是不再使用,這樣固態硬盤就能夠直接進行垃圾回收工作。壓RIM與垃圾回收,平衡磨損機制密切配合,確實極大的提升了固態硬盤的性能,有效的延長了固態硬盤的使用壽命。TRIM指令對取證的影響在于其保證了垃圾回收快速完成,也就是講一點在操作系統中刪除了一個數據,固態硬盤就會很快擦除所有內容。對于電子數據取證實踐垃圾回收、平衡磨損和壓RIM指令帶來的后果是災難性的:由于垃圾回收機制的作用用戶刪除數據后固態硬盤就會徹底清空那個區塊,而不是只刪除索引而保存數據。平衡磨損能夠保證垃圾回收平衡擦除硬盤的區塊。TRIM指令又能保證垃圾回收高效執行。這三者相結合的最終后果是:在固態硬盤上,無法進行傳統的數據恢復工作而通過未分配簇查找證據文件碎片的可行性也幾乎不存在。所以對于固態硬盤而言應將取證的重點集中在未刪除數據之上。三、常見固態硬盤裝機形式及取證對策(一)作為唯一硬盤使用這種形式最初見于蘋果MaeBookAir(MBA)系列筆記本電腦2018年第四季度Intel公司推出超極本概念后高端超極本多采取此類使用方式。當前取證工作中碰到的硬盤容量多為64GB一256哪之間。如我局偵辦的13.11.07走私固體廢物案件中犯罪嫌疑人張X(朝鮮籍)所使用的三星500TIC一A03型筆記本電腦,其主硬盤就是一64G的固體硬盤、12.02.02大連某商貿有限公司走私水果案J巳罪嫌疑人李X使用的蘋果MBA筆記本裝有120G固態硬盤。針對單一固態硬盤的計算機設備應首先判定操作系統若是WindowSXP以前的操作系統河以進行數據恢復的嘗試加果是WindowS7及后續的操作系統漢應把取證的重點放在未刪除數據上。(二)作為系統盤,與機械硬盤配合使用筆者稱之為l+l形式。這是當前臺式機上最常見的固態硬盤安裝方式部分筆記本用戶通過光驅位硬盤模塊可以實現此類方式。固態硬盤作為C盤皮裝操作系統和常用工作軟件J機械硬盤作為數據倉庫存儲文件,解決了容量和速度的平衡。如我局偵辦13.01.04的洪志強(化名)團伙涉嫌繞越設關地走私進口凍品案,犯罪嫌疑人王X家中所使用的臺式電腦,配有一塊金士頓128G固態硬盤和一塊希捷lT機械硬盤。針對此類電腦應首先分析用戶的操作習慣,判定證據文件會存放于哪個硬盤內再進行有針對性的取證工作。(三)作為高速緩存使用這種形式多見于低端超級本平臺。部分廠商基于知足Intel公司的超極本概念,為了降低成本,采用板載小容量固態硬盤(24哪一32哪)與機械硬盤組成特殊形式的磁盤陣列。這類筆記本電腦由于價格便宜,有較高的便攜性銷量較大,因而在我們日常取證工作中也較為常見。針對此類電腦,固態硬盤主要用于存儲近期訪問數據,提升硬盤響應速度。用戶文件扔存放與機械硬盤之上,但由于固態硬盤與機械硬盤組成了陣列建議采用專用設備在線勘查。(四)混合硬盤,這是一種新的硬盤類型,屬于機械硬盤與固態硬盤相結合而衍生出來的產品除了機械硬盤必備的碟片、馬達、磁頭等等,還內置了閃存芯片。混合硬盤自動學慣用戶使用習慣將用戶經常訪問的數據放入閃存河以到達如固態硬盤效果的讀取性能。如希捷S竹50LX003型混合硬盤擁有75OG的存儲空間(機械磁盤)和8哪的SLC閃存。此類硬盤較為少見筆者以為其閃存芯片僅起到緩存作用數據應主要保存在機械部分因而其取證經過應與機械硬盤類似。綜上所述隨著固態硬盤的市場占有率會進一步提高我們在電子數據取證實踐中接觸固態硬盤的時機也越來越多。筆者以為,碰到牽涉固態硬盤的計算機設備首先要查看固態硬盤的使用方式是單一硬盤還是l+l形式抑或是僅僅作為加速緩存使用。在這里基礎上要了解計算機上使用操作系統類型,分析用戶的使用習慣確定取證的重點。針對固態硬盤和機械硬盤應采取不同的取證方式方法和思路J同時要及時了解取證設備的更新換代,借助專業設備,做好電子數據取證工作。以下為參考文獻:[1]GyuSangChoi;IngyuLee;MankyuSung;Im.AhybridSSDwit