固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文_第1頁
固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文_第2頁
固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文_第3頁
免費預(yù)覽已結(jié)束,剩余6頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

固態(tài)硬盤取證難點及常見固態(tài)硬盤取證對策,司法制度論文固態(tài)硬盤(SolidStateDisk簡稱SSD)即以固態(tài)的半導(dǎo)體芯片作為存儲介質(zhì)的大容量存儲器。根據(jù)所使用的半導(dǎo)體芯片可分為基于閃存(NANDFlash)和基于易失性存儲(DRAM)的固態(tài)硬盤。后者需要獨立電源只在很特殊的設(shè)備中才有使用放不屬于本文的討論范圍?;陂W存的固態(tài)硬盤構(gòu)造相對于機(jī)械硬盤(HDD)簡單的多,由外殼和印刷電路板(PCB)組成。其外殼僅起保衛(wèi)作用,核心就是印刷電路板。PCB上主要有主控芯片緩存芯片(部分低端產(chǎn)品無緩存芯片)和用于存儲數(shù)據(jù)的閃存芯片。主控芯片連接著閃存芯片和外部接口,通過合理分配數(shù)據(jù)在各個閃存芯片上的存儲來控制整個硬盤工作。優(yōu)秀的主控芯片具有數(shù)據(jù)處理速度快、算法先進(jìn)等特點。緩存芯片一般設(shè)置在主控芯片旁其作用與機(jī)械硬盤類似,高速緩存芯片能夠完成數(shù)據(jù)預(yù)讀取、緩存寫入動作和存儲近期訪問數(shù)據(jù)等功能。值得注意的是某些低端產(chǎn)品為了節(jié)省成本省略了緩存芯片,其性能必然降低。閃存芯片承當(dāng)了數(shù)據(jù)存儲的重任因而在電路板上數(shù)量最多,占用空間也最大。固態(tài)硬盤的容量主要由搭載的閃存芯片數(shù)量來決定。市場上常見的固態(tài)硬盤容量在16GB到l.6TB之間。(二)固態(tài)硬盤的特點固態(tài)硬盤與機(jī)械硬盤相比擬的。其主要特點有下面幾項:1.讀寫速度快:固態(tài)硬盤采用電氣信號對閃存芯片進(jìn)行讀寫操作。相對于需要磁頭往復(fù)移動的機(jī)械硬盤,固態(tài)硬盤的尋道時間只要零點幾毫秒。在大數(shù)據(jù)持續(xù)讀寫、4K隨機(jī)讀寫等指標(biāo)上優(yōu)勢明顯。2.防震抗摔:由于采用全固態(tài)的閃存芯片為存儲介質(zhì),不必?fù)?dān)憂像機(jī)械硬盤那樣磁頭和盤面碰撞。固態(tài)硬盤能夠在高速移動和震蕩的時候正常工作抗震性和抗沖擊性都強(qiáng)很多。3.低功耗無噪音:固態(tài)硬盤不需要驅(qū)動磁頭運動,也沒有軸承和電動機(jī)所以功耗上要低于機(jī)械硬盤且理論上沒有工作噪音。4.工作環(huán)境要求低:固態(tài)硬盤能夠在一10攝氏度到70攝氏度之間工作而機(jī)械硬盤則嬌貴的多只能工作在5一55攝氏度的區(qū)間內(nèi)。5.容量小價格高:在TB級機(jī)械硬盤面前周態(tài)硬盤的容量有著明顯的劣勢。一樣容量的情況下,固態(tài)硬盤的價格甚至要高于機(jī)械硬盤十倍以上。6.寫入壽命限制:固態(tài)硬盤使用的閃存芯片有擦寫次數(shù)限制最低端TLC芯片理論擦寫次數(shù)只要500次,即便是最好的SLC芯片也最多只要十萬次左右的擦寫次數(shù)。最重要的是固態(tài)硬盤損壞后數(shù)據(jù)是無法恢復(fù)的這是引起使用者憂慮的主要原因。(三)固態(tài)硬盤的分類1.根據(jù)底層存儲形式閃存(NANDFlash)芯片劃分,可分為SLC(Single一LevelCell)、MLC(Multi一LevelCell)以及TLC(Trina叮一玫velCell)三種。SLC構(gòu)造簡單,一個單元存儲一位(Bit)數(shù)據(jù)速度快壽命長(10000一100000次P/E)可靠性好缺點是價格較高。MLC顧名思義在一個存儲單元中實現(xiàn)多位存儲能力讀寫速度和壽命(3000次P/E)方面都遠(yuǎn)低于SLC但由于成本只要SLC的三分之一,是當(dāng)前市場上的主流。我們在取證經(jīng)過中見到的固態(tài)硬盤90%都采用MLC芯片。而TLc一個單元存儲三位(Bit)數(shù)據(jù)成本更進(jìn)一步降低速度也下降的很嚴(yán)重最被用戶垢病的是其壽命很短(只要500次P/E)。但由于價格更低,三星等廠商已經(jīng)量產(chǎn)使用基于TLC芯片的固態(tài)硬盤產(chǎn)品。川頁便提一下,當(dāng)前我們辦案中碰到的U盤多采取TLC芯片作為存儲介質(zhì)。2.按數(shù)據(jù)接口分類河分為常見于臺式機(jī)和家用筆記本電腦的SA-TA固態(tài)硬盤,常見于商務(wù)筆記本電腦的mSATA固態(tài)硬盤、常見于超輕薄筆記本電腦的MicroSATA(也稱uSATA)固態(tài)硬盤、常見于便攜式移動存儲的eSAI,A固態(tài)硬盤和常見于服務(wù)器的PCI一E接口固態(tài)硬盤等等。值得注意的是啟仔分廠商(如蘋果公司)使用自個定制的固態(tài)硬盤。另有M.2、CFast等等接口形式的固態(tài)硬盤,因在取證實踐中很少碰到放不在本文詳述。二、固態(tài)硬盤取證難點(一)固態(tài)硬盤數(shù)據(jù)存儲方式與機(jī)械硬盤完全不同我們知道機(jī)械硬盤的數(shù)據(jù)存儲部分主要是由存儲數(shù)據(jù)的磁盤和讀寫電磁信號的磁頭、磁頭控制器組成。讀寫數(shù)據(jù)時磁盤高速旋轉(zhuǎn),磁頭控制器帶動磁頭在磁盤上徑向移動。在兩者的共同動作下,磁頭最終定位在磁盤的指定位置進(jìn)行操作。固態(tài)硬盤的存儲方式更類似于U盤。數(shù)據(jù)存儲和讀寫都在閃存芯片內(nèi)進(jìn)行。閃存本身是一種可擦除可編程只讀存儲器(EEPROM),可快速完成讀、寫、抹除等三種基本操作形式。固態(tài)硬盤中的閃存被劃分出區(qū)塊(Bloek),區(qū)塊內(nèi)又劃分出很多頁面(Pages)。讀寫數(shù)據(jù)時,計算機(jī)把二進(jìn)制數(shù)字信號轉(zhuǎn)為復(fù)合二進(jìn)制數(shù)字信號(參加分配、核對、堆棧等指令)發(fā)送到硬盤適配器接口經(jīng)主控芯片分配后寫入到閃存的頁面上實現(xiàn)數(shù)據(jù)的存儲。(二)垃圾回收導(dǎo)致無法恢復(fù)刪除的數(shù)據(jù)無論是機(jī)械硬盤還是固態(tài)硬盤接到操作系統(tǒng)寫入數(shù)據(jù)指令后,會先刪除舊數(shù)據(jù)再寫入新數(shù)據(jù)。而接到刪除數(shù)據(jù)指令時硬盤僅在相應(yīng)位置進(jìn)行做一個可刪除標(biāo)記待進(jìn)行寫入操作時真正刪除。問題在于固態(tài)硬盤中質(zhì)面是最小的數(shù)據(jù)寫入單位而區(qū)塊則是最小的數(shù)據(jù)刪除單位。如要刪除A區(qū)塊內(nèi)的AI頁面數(shù)據(jù)漢要先將該區(qū)塊內(nèi)除AI頁面外的所有數(shù)據(jù)復(fù)制到另外的區(qū)塊內(nèi),然后再去除A區(qū)塊。這樣就導(dǎo)致固態(tài)硬盤寫入操作時會產(chǎn)生明顯延時。為降低延時,固態(tài)硬盤制造商引入了垃圾回收(Garbageeoneetion)機(jī)制。簡單來講垃圾回收是利用系統(tǒng)空閑時間全盤掃描有效的頁面并合并整理變?yōu)橐粋€包含全部有效頁面的區(qū)塊,而那些無效的頁面和區(qū)塊都將被完全去除然后將回收的空間返回以便再次進(jìn)行寫入操作。垃圾回收對取證的影響在于其不定期自動執(zhí)行去除操作,導(dǎo)致數(shù)據(jù)徹底刪除。由于閃存的讀寫次數(shù)有限加果數(shù)據(jù)總是存儲在某個區(qū)塊上,必將導(dǎo)致這個區(qū)塊提早報廢。為了保證區(qū)塊平衡使用,避免某些區(qū)塊提早損耗而影響到整個硬盤的使用周態(tài)硬盤中采用平衡磨損(WearLevel-ing)機(jī)制。它能夠盡可能地將文件平均分配到每一個區(qū)塊保證對每一個閃存區(qū)塊的擦寫(P/E)次數(shù)一致,避免對某一部分區(qū)塊的過度地重復(fù)進(jìn)行擦除操作而報廢,進(jìn)而有效延長了固態(tài)硬盤的使用壽命。平衡磨損對取證的影響在于每個區(qū)塊都會被平衡使用,也意味著平衡擦除。操作系統(tǒng)也對固態(tài)硬盤進(jìn)行了優(yōu)化,最為代表性的就是TRIM指令啟能夠讓操作系統(tǒng)通知固態(tài)硬盤哪些區(qū)塊是不再使用,這樣固態(tài)硬盤就能夠直接進(jìn)行垃圾回收工作。壓RIM與垃圾回收,平衡磨損機(jī)制密切配合,確實極大的提升了固態(tài)硬盤的性能,有效的延長了固態(tài)硬盤的使用壽命。TRIM指令對取證的影響在于其保證了垃圾回收快速完成,也就是講一點在操作系統(tǒng)中刪除了一個數(shù)據(jù),固態(tài)硬盤就會很快擦除所有內(nèi)容。對于電子數(shù)據(jù)取證實踐垃圾回收、平衡磨損和壓RIM指令帶來的后果是災(zāi)難性的:由于垃圾回收機(jī)制的作用用戶刪除數(shù)據(jù)后固態(tài)硬盤就會徹底清空那個區(qū)塊,而不是只刪除索引而保存數(shù)據(jù)。平衡磨損能夠保證垃圾回收平衡擦除硬盤的區(qū)塊。TRIM指令又能保證垃圾回收高效執(zhí)行。這三者相結(jié)合的最終后果是:在固態(tài)硬盤上,無法進(jìn)行傳統(tǒng)的數(shù)據(jù)恢復(fù)工作而通過未分配簇查找證據(jù)文件碎片的可行性也幾乎不存在。所以對于固態(tài)硬盤而言應(yīng)將取證的重點集中在未刪除數(shù)據(jù)之上。三、常見固態(tài)硬盤裝機(jī)形式及取證對策(一)作為唯一硬盤使用這種形式最初見于蘋果MaeBookAir(MBA)系列筆記本電腦2018年第四季度Intel公司推出超極本概念后高端超極本多采取此類使用方式。當(dāng)前取證工作中碰到的硬盤容量多為64GB一256哪之間。如我局偵辦的13.11.07走私固體廢物案件中犯罪嫌疑人張X(朝鮮籍)所使用的三星500TIC一A03型筆記本電腦,其主硬盤就是一64G的固體硬盤、12.02.02大連某商貿(mào)有限公司走私水果案J巳罪嫌疑人李X使用的蘋果MBA筆記本裝有120G固態(tài)硬盤。針對單一固態(tài)硬盤的計算機(jī)設(shè)備應(yīng)首先判定操作系統(tǒng)若是WindowSXP以前的操作系統(tǒng)河以進(jìn)行數(shù)據(jù)恢復(fù)的嘗試加果是WindowS7及后續(xù)的操作系統(tǒng)漢應(yīng)把取證的重點放在未刪除數(shù)據(jù)上。(二)作為系統(tǒng)盤,與機(jī)械硬盤配合使用筆者稱之為l+l形式。這是當(dāng)前臺式機(jī)上最常見的固態(tài)硬盤安裝方式部分筆記本用戶通過光驅(qū)位硬盤模塊可以實現(xiàn)此類方式。固態(tài)硬盤作為C盤皮裝操作系統(tǒng)和常用工作軟件J機(jī)械硬盤作為數(shù)據(jù)倉庫存儲文件,解決了容量和速度的平衡。如我局偵辦13.01.04的洪志強(qiáng)(化名)團(tuán)伙涉嫌繞越設(shè)關(guān)地走私進(jìn)口凍品案,犯罪嫌疑人王X家中所使用的臺式電腦,配有一塊金士頓128G固態(tài)硬盤和一塊希捷lT機(jī)械硬盤。針對此類電腦應(yīng)首先分析用戶的操作習(xí)慣,判定證據(jù)文件會存放于哪個硬盤內(nèi)再進(jìn)行有針對性的取證工作。(三)作為高速緩存使用這種形式多見于低端超級本平臺。部分廠商基于知足Intel公司的超極本概念,為了降低成本,采用板載小容量固態(tài)硬盤(24哪一32哪)與機(jī)械硬盤組成特殊形式的磁盤陣列。這類筆記本電腦由于價格便宜,有較高的便攜性銷量較大,因而在我們?nèi)粘H∽C工作中也較為常見。針對此類電腦,固態(tài)硬盤主要用于存儲近期訪問數(shù)據(jù),提升硬盤響應(yīng)速度。用戶文件扔存放與機(jī)械硬盤之上,但由于固態(tài)硬盤與機(jī)械硬盤組成了陣列建議采用專用設(shè)備在線勘查。(四)混合硬盤,這是一種新的硬盤類型,屬于機(jī)械硬盤與固態(tài)硬盤相結(jié)合而衍生出來的產(chǎn)品除了機(jī)械硬盤必備的碟片、馬達(dá)、磁頭等等,還內(nèi)置了閃存芯片?;旌嫌脖P自動學(xué)慣用戶使用習(xí)慣將用戶經(jīng)常訪問的數(shù)據(jù)放入閃存河以到達(dá)如固態(tài)硬盤效果的讀取性能。如希捷S竹50LX003型混合硬盤擁有75OG的存儲空間(機(jī)械磁盤)和8哪的SLC閃存。此類硬盤較為少見筆者以為其閃存芯片僅起到緩存作用數(shù)據(jù)應(yīng)主要保存在機(jī)械部分因而其取證經(jīng)過應(yīng)與機(jī)械硬盤類似。綜上所述隨著固態(tài)硬盤的市場占有率會進(jìn)一步提高我們在電子數(shù)據(jù)取證實踐中接觸固態(tài)硬盤的時機(jī)也越來越多。筆者以為,碰到牽涉固態(tài)硬盤的計算機(jī)設(shè)備首先要查看固態(tài)硬盤的使用方式是單一硬盤還是l+l形式抑或是僅僅作為加速緩存使用。在這里基礎(chǔ)上要了解計算機(jī)上使用操作系統(tǒng)類型,分析用戶的使用習(xí)慣確定取證的重點。針對固態(tài)硬盤和機(jī)械硬盤應(yīng)采取不同的取證方式方法和思路J同時要及時了解取證設(shè)備的更新?lián)Q代,借助專業(yè)設(shè)備,做好電子數(shù)據(jù)取證工作。以下為參考文獻(xiàn):[1]GyuSangChoi;IngyuLee;MankyuSung;Im.AhybridSSDwit

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論