固態(tài)硬盤取證難點(diǎn)及常見固態(tài)硬盤取證對(duì)策,司法制度論文固態(tài)硬盤(SolidStateDisk簡(jiǎn)稱SSD)即以固態(tài)的半導(dǎo)體芯片作為存儲(chǔ)介質(zhì)的大容量存儲(chǔ)器。根據(jù)所使用的半導(dǎo)體芯片可分為基于閃存(NANDFlash)和基于易失性存儲(chǔ)(DRAM)的固態(tài)硬盤。后者需要獨(dú)立電源只在很特殊的設(shè)備中才有使用放不屬于本文的討論范圍?；陂W存的固態(tài)硬盤構(gòu)造相對(duì)于機(jī)械硬盤(HDD)簡(jiǎn)單的多,由外殼和印刷電路板(PCB)組成。其外殼僅起保衛(wèi)作用,核心就是印刷電路板。PCB上主要有主控芯片緩存芯片(部分低端產(chǎn)品無緩存芯片)和用于存儲(chǔ)數(shù)據(jù)的閃存芯片。主控芯片連接著閃存芯片和外部接口,通過合理分配數(shù)據(jù)在各個(gè)閃存芯片上的存儲(chǔ)來控制整個(gè)硬盤工作。優(yōu)秀的主控芯片具有數(shù)據(jù)處理速度快、算法先進(jìn)等特點(diǎn)。緩存芯片一般設(shè)置在主控芯片旁其作用與機(jī)械硬盤類似,高速緩存芯片能夠完成數(shù)據(jù)預(yù)讀取、緩存寫入動(dòng)作和存儲(chǔ)近期訪問數(shù)據(jù)等功能。值得注意的是某些低端產(chǎn)品為了節(jié)省成本省略了緩存芯片,其性能必然降低。閃存芯片承當(dāng)了數(shù)據(jù)存儲(chǔ)的重任因而在電路板上數(shù)量最多,占用空間也最大。固態(tài)硬盤的容量主要由搭載的閃存芯片數(shù)量來決定。市場(chǎng)上常見的固態(tài)硬盤容量在16GB到l.6TB之間。(二)固態(tài)硬盤的特點(diǎn)固態(tài)硬盤與機(jī)械硬盤相比擬的。其主要特點(diǎn)有下面幾項(xiàng):1.讀寫速度快:固態(tài)硬盤采用電氣信號(hào)對(duì)閃存芯片進(jìn)行讀寫操作。相對(duì)于需要磁頭往復(fù)移動(dòng)的機(jī)械硬盤,固態(tài)硬盤的尋道時(shí)間只要零點(diǎn)幾毫秒。在大數(shù)據(jù)持續(xù)讀寫、4K隨機(jī)讀寫等指標(biāo)上優(yōu)勢(shì)明顯。2.防震抗摔:由于采用全固態(tài)的閃存芯片為存儲(chǔ)介質(zhì),不必?fù)?dān)憂像機(jī)械硬盤那樣磁頭和盤面碰撞。固態(tài)硬盤能夠在高速移動(dòng)和震蕩的時(shí)候正常工作抗震性和抗沖擊性都強(qiáng)很多。3.低功耗無噪音:固態(tài)硬盤不需要驅(qū)動(dòng)磁頭運(yùn)動(dòng),也沒有軸承和電動(dòng)機(jī)所以功耗上要低于機(jī)械硬盤且理論上沒有工作噪音。4.工作環(huán)境要求低:固態(tài)硬盤能夠在一10攝氏度到70攝氏度之間工作而機(jī)械硬盤則嬌貴的多只能工作在5一55攝氏度的區(qū)間內(nèi)。5.容量小價(jià)格高:在TB級(jí)機(jī)械硬盤面前周態(tài)硬盤的容量有著明顯的劣勢(shì)。一樣容量的情況下,固態(tài)硬盤的價(jià)格甚至要高于機(jī)械硬盤十倍以上。6.寫入壽命限制:固態(tài)硬盤使用的閃存芯片有擦寫次數(shù)限制最低端TLC芯片理論擦寫次數(shù)只要500次,即便是最好的SLC芯片也最多只要十萬次左右的擦寫次數(shù)。最重要的是固態(tài)硬盤損壞后數(shù)據(jù)是無法恢復(fù)的這是引起使用者憂慮的主要原因。(三)固態(tài)硬盤的分類1.根據(jù)底層存儲(chǔ)形式閃存(NANDFlash)芯片劃分,可分為SLC(Single一LevelCell)、MLC(Multi一LevelCell)以及TLC(Trina叮一玫velCell)三種。SLC構(gòu)造簡(jiǎn)單,一個(gè)單元存儲(chǔ)一位(Bit)數(shù)據(jù)速度快壽命長(zhǎng)(10000一100000次P/E)可靠性好缺點(diǎn)是價(jià)格較高。MLC顧名思義在一個(gè)存儲(chǔ)單元中實(shí)現(xiàn)多位存儲(chǔ)能力讀寫速度和壽命(3000次P/E)方面都遠(yuǎn)低于SLC但由于成本只要SLC的三分之一,是當(dāng)前市場(chǎng)上的主流。我們?cè)谌∽C經(jīng)過中見到的固態(tài)硬盤90%都采用MLC芯片。而TLc一個(gè)單元存儲(chǔ)三位(Bit)數(shù)據(jù)成本更進(jìn)一步降低速度也下降的很嚴(yán)重最被用戶垢病的是其壽命很短(只要500次P/E)。但由于價(jià)格更低,三星等廠商已經(jīng)量產(chǎn)使用基于TLC芯片的固態(tài)硬盤產(chǎn)品。川頁便提一下,當(dāng)前我們辦案中碰到的U盤多采取TLC芯片作為存儲(chǔ)介質(zhì)。2.按數(shù)據(jù)接口分類河分為常見于臺(tái)式機(jī)和家用筆記本電腦的SA-TA固態(tài)硬盤,常見于商務(wù)筆記本電腦的mSATA固態(tài)硬盤、常見于超輕薄筆記本電腦的MicroSATA(也稱uSATA)固態(tài)硬盤、常見于便攜式移動(dòng)存儲(chǔ)的eSAI,A固態(tài)硬盤和常見于服務(wù)器的PCI一E接口固態(tài)硬盤等等。值得注意的是啟仔分廠商(如蘋果公司)使用自個(gè)定制的固態(tài)硬盤。另有M.2、CFast等等接口形式的固態(tài)硬盤,因在取證實(shí)踐中很少碰到放不在本文詳述。二、固態(tài)硬盤取證難點(diǎn)(一)固態(tài)硬盤數(shù)據(jù)存儲(chǔ)方式與機(jī)械硬盤完全不同我們知道機(jī)械硬盤的數(shù)據(jù)存儲(chǔ)部分主要是由存儲(chǔ)數(shù)據(jù)的磁盤和讀寫電磁信號(hào)的磁頭、磁頭控制器組成。讀寫數(shù)據(jù)時(shí)磁盤高速旋轉(zhuǎn),磁頭控制器帶動(dòng)磁頭在磁盤上徑向移動(dòng)。在兩者的共同動(dòng)作下,磁頭最終定位在磁盤的指定位置進(jìn)行操作。固態(tài)硬盤的存儲(chǔ)方式更類似于U盤。數(shù)據(jù)存儲(chǔ)和讀寫都在閃存芯片內(nèi)進(jìn)行。閃存本身是一種可擦除可編程只讀存儲(chǔ)器(EEPROM),可快速完成讀、寫、抹除等三種基本操作形式。固態(tài)硬盤中的閃存被劃分出區(qū)塊(Bloek),區(qū)塊內(nèi)又劃分出很多頁面(Pages)。讀寫數(shù)據(jù)時(shí),計(jì)算機(jī)把二進(jìn)制數(shù)字信號(hào)轉(zhuǎn)為復(fù)合二進(jìn)制數(shù)字信號(hào)(參加分配、核對(duì)、堆棧等指令)發(fā)送到硬盤適配器接口經(jīng)主控芯片分配后寫入到閃存的頁面上實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)。(二)垃圾回收導(dǎo)致無法恢復(fù)刪除的數(shù)據(jù)無論是機(jī)械硬盤還是固態(tài)硬盤接到操作系統(tǒng)寫入數(shù)據(jù)指令后,會(huì)先刪除舊數(shù)據(jù)再寫入新數(shù)據(jù)。而接到刪除數(shù)據(jù)指令時(shí)硬盤僅在相應(yīng)位置進(jìn)行做一個(gè)可刪除標(biāo)記待進(jìn)行寫入操作時(shí)真正刪除。問題在于固態(tài)硬盤中質(zhì)面是最小的數(shù)據(jù)寫入單位而區(qū)塊則是最小的數(shù)據(jù)刪除單位。如要?jiǎng)h除A區(qū)塊內(nèi)的AI頁面數(shù)據(jù)漢要先將該區(qū)塊內(nèi)除AI頁面外的所有數(shù)據(jù)復(fù)制到另外的區(qū)塊內(nèi),然后再去除A區(qū)塊。這樣就導(dǎo)致固態(tài)硬盤寫入操作時(shí)會(huì)產(chǎn)生明顯延時(shí)。為降低延時(shí),固態(tài)硬盤制造商引入了垃圾回收(Garbageeoneetion)機(jī)制。簡(jiǎn)單來講垃圾回收是利用系統(tǒng)空閑時(shí)間全盤掃描有效的頁面并合并整理變?yōu)橐粋€(gè)包含全部有效頁面的區(qū)塊,而那些無效的頁面和區(qū)塊都將被完全去除然后將回收的空間返回以便再次進(jìn)行寫入操作。垃圾回收對(duì)取證的影響在于其不定期自動(dòng)執(zhí)行去除操作,導(dǎo)致數(shù)據(jù)徹底刪除。由于閃存的讀寫次數(shù)有限加果數(shù)據(jù)總是存儲(chǔ)在某個(gè)區(qū)塊上,必將導(dǎo)致這個(gè)區(qū)塊提早報(bào)廢。為了保證區(qū)塊平衡使用,避免某些區(qū)塊提早損耗而影響到整個(gè)硬盤的使用周態(tài)硬盤中采用平衡磨損(WearLevel-ing)機(jī)制。它能夠盡可能地將文件平均分配到每一個(gè)區(qū)塊保證對(duì)每一個(gè)閃存區(qū)塊的擦寫(P/E)次數(shù)一致,避免對(duì)某一部分區(qū)塊的過度地重復(fù)進(jìn)行擦除操作而報(bào)廢,進(jìn)而有效延長(zhǎng)了固態(tài)硬盤的使用壽命。平衡磨損對(duì)取證的影響在于每個(gè)區(qū)塊都會(huì)被平衡使用,也意味著平衡擦除。操作系統(tǒng)也對(duì)固態(tài)硬盤進(jìn)行了優(yōu)化,最為代表性的就是TRIM指令啟能夠讓操作系統(tǒng)通知固態(tài)硬盤哪些區(qū)塊是不再使用,這樣固態(tài)硬盤就能夠直接進(jìn)行垃圾回收工作。壓RIM與垃圾回收,平衡磨損機(jī)制密切配合,確實(shí)極大的提升了固態(tài)硬盤的性能,有效的延長(zhǎng)了固態(tài)硬盤的使用壽命。TRIM指令對(duì)取證的影響在于其保證了垃圾回收快速完成,也就是講一點(diǎn)在操作系統(tǒng)中刪除了一個(gè)數(shù)據(jù),固態(tài)硬盤就會(huì)很快擦除所有內(nèi)容。對(duì)于電子數(shù)據(jù)取證實(shí)踐垃圾回收、平衡磨損和壓RIM指令帶來的后果是災(zāi)難性的:由于垃圾回收機(jī)制的作用用戶刪除數(shù)據(jù)后固態(tài)硬盤就會(huì)徹底清空那個(gè)區(qū)塊,而不是只刪除索引而保存數(shù)據(jù)。平衡磨損能夠保證垃圾回收平衡擦除硬盤的區(qū)塊。TRIM指令又能保證垃圾回收高效執(zhí)行。這三者相結(jié)合的最終后果是:在固態(tài)硬盤上,無法進(jìn)行傳統(tǒng)的數(shù)據(jù)恢復(fù)工作而通過未分配簇查找證據(jù)文件碎片的可行性也幾乎不存在。所以對(duì)于固態(tài)硬盤而言應(yīng)將取證的重點(diǎn)集中在未刪除數(shù)據(jù)之上。三、常見固態(tài)硬盤裝機(jī)形式及取證對(duì)策(一)作為唯一硬盤使用這種形式最初見于蘋果MaeBookAir(MBA)系列筆記本電腦2018年第四季度Intel公司推出超極本概念后高端超極本多采取此類使用方式。當(dāng)前取證工作中碰到的硬盤容量多為64GB一256哪之間。如我局偵辦的13.11.07走私固體廢物案件中犯罪嫌疑人張X(朝鮮籍)所使用的三星500TIC一A03型筆記本電腦,其主硬盤就是一64G的固體硬盤、12.02.02大連某商貿(mào)有限公司走私水果案J巳罪嫌疑人李X使用的蘋果MBA筆記本裝有120G固態(tài)硬盤。針對(duì)單一固態(tài)硬盤的計(jì)算機(jī)設(shè)備應(yīng)首先判定操作系統(tǒng)若是WindowSXP以前的操作系統(tǒng)河以進(jìn)行數(shù)據(jù)恢復(fù)的嘗試加果是WindowS7及后續(xù)的操作系統(tǒng)漢應(yīng)把取證的重點(diǎn)放在未刪除數(shù)據(jù)上。(二)作為系統(tǒng)盤,與機(jī)械硬盤配合使用筆者稱之為l+l形式。這是當(dāng)前臺(tái)式機(jī)上最常見的固態(tài)硬盤安裝方式部分筆記本用戶通過光驅(qū)位硬盤模塊可以實(shí)現(xiàn)此類方式。固態(tài)硬盤作為C盤皮裝操作系統(tǒng)和常用工作軟件J機(jī)械硬盤作為數(shù)據(jù)倉(cāng)庫(kù)存儲(chǔ)文件,解決了容量和速度的平衡。如我局偵辦13.01.04的洪志強(qiáng)(化名)團(tuán)伙涉嫌繞越設(shè)關(guān)地走私進(jìn)口凍品案,犯罪嫌疑人王X家中所使用的臺(tái)式電腦,配有一塊金士頓128G固態(tài)硬盤和一塊希捷lT機(jī)械硬盤。針對(duì)此類電腦應(yīng)首先分析用戶的操作習(xí)慣,判定證據(jù)文件會(huì)存放于哪個(gè)硬盤內(nèi)再進(jìn)行有針對(duì)性的取證工作。(三)作為高速緩存使用這種形式多見于低端超級(jí)本平臺(tái)。部分廠商基于知足Intel公司的超極本概念,為了降低成本,采用板載小容量固態(tài)硬盤(24哪一32哪)與機(jī)械硬盤組成特殊形式的磁盤陣列。這類筆記本電腦由于價(jià)格便宜,有較高的便攜性銷量較大,因而在我們?nèi)粘Ｈ∽C工作中也較為常見。針對(duì)此類電腦,固態(tài)硬盤主要用于存儲(chǔ)近期訪問數(shù)據(jù),提升硬盤響應(yīng)速度。用戶文件扔存放與機(jī)械硬盤之上,但由于固態(tài)硬盤與機(jī)械硬盤組成了陣列建議采用專用設(shè)備在線勘查。(四)混合硬盤,這是一種新的硬盤類型,屬于機(jī)械硬盤與固態(tài)硬盤相結(jié)合而衍生出來的產(chǎn)品除了機(jī)械硬盤必備的碟片、馬達(dá)、磁頭等等,還內(nèi)置了閃存芯片?；旌嫌脖P自動(dòng)學(xué)慣用戶使用習(xí)慣將用戶經(jīng)常訪問的數(shù)據(jù)放入閃存河以到達(dá)如固態(tài)硬盤效果的讀取性能。如希捷S竹50LX003型混合硬盤擁有75OG的存儲(chǔ)空間(機(jī)械磁盤)和8哪的SLC閃存。此類硬盤較為少見筆者以為其閃存芯片僅起到緩存作用數(shù)據(jù)應(yīng)主要保存在機(jī)械部分因而其取證經(jīng)過應(yīng)與機(jī)械硬盤類似。綜上所述隨著固態(tài)硬盤的市場(chǎng)占有率會(huì)進(jìn)一步提高我們?cè)陔娮訑?shù)據(jù)取證實(shí)踐中接觸固態(tài)硬盤的時(shí)機(jī)也越來越多。筆者以為,碰到牽涉固態(tài)硬盤的計(jì)算機(jī)設(shè)備首先要查看固態(tài)硬盤的使用方式是單一硬盤還是l+l形式抑或是僅僅作為加速緩存使用。在這里基礎(chǔ)上要了解計(jì)算機(jī)上使用操作系統(tǒng)類型,分析用戶的使用習(xí)慣確定取證的重點(diǎn)。針對(duì)固態(tài)硬盤和機(jī)械硬盤應(yīng)采取不同的取證方式方法和思路J同時(shí)要及時(shí)了解取證設(shè)備的更新?lián)Q代,借助專業(yè)設(shè)備,做好電子數(shù)據(jù)取證工作。以下為參考文獻(xiàn):[1]GyuSangChoi;IngyuLee;MankyuSung;Im.AhybridSSDwit