歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

開啟TRIM功能后,如何使用工廠訪問模式鏡像固態硬盤驅動器

來源:本站整理 作者:佚名 時間:2019-03-17 TAG: 我要投稿

固態硬盤非常奇怪,因為它們在編寫數據的方式上很奇怪,甚至在刪除信息的方式上更奇怪。在使用條帶化磁體技術進行信息記錄的硬盤中,人們在刪除文件后,里面的內容其實仍然是存在的,直到被覆蓋,但固態硬盤卻不是這樣。它們在處理刪除的數據方面和過去的技術有所不同,只要是進行了刪除操作,被刪除的內容就不會再被恢復。只需開啟固態硬盤,它就會啟動后臺垃圾收集,即使你寫入只讀隔離程序,它也會刪除開啟具有trim功能的數據塊。
Trim的作用
在原理對的機械硬盤上,寫入數據時,Windows會通知硬盤先將以前的刪除,再將新的數據寫入到磁盤中。而在刪除數據時,Windows只會在此處做個標記,說明這里應該是沒有東西了,等到真正要寫入數據時再來真正刪除,并且做標記這個動作會保留在磁盤緩存中,等到磁盤空閑時再執行。這樣一來,磁盤需要更多的時間來執行以上操作,速度當然會慢下來。而當Windows識別到固態硬盤并確認固態硬盤支持Trim后,在刪除數據時,會不向硬盤通知刪除指令,只使用Volume Bitmap來記住這里的數據已經刪除。Volume Bitmap只是一個磁盤快照,其建立速度比直接讀寫硬盤去標記刪除區域要快得多。這一步就已經省下一大筆時間了。然后再是寫入數據的時候,由于NAND閃存保存數據是純粹的數字形式,因此可以直接根據Volume Bitmap的情況,向快照中已刪除的區域寫入新的數據,而不用花時間去刪除原本的數據。注意:如果固態硬盤組建RAID0陣列0后,將失去Trim功能。
對固態硬盤進行鏡像后,即使在鏡像時實際數據仍然存在,你也將無法在刪除區域找到任何內容-。需要注意的是,你的固態硬盤的存儲容量比說明書上寫的要大,因為物理存儲容量的5%到15%專用于不可尋址池,從固態硬盤中刪除的任何數據,在被系統經過Trim處理后都可以直接進入該池,而不需要訪問甚至尋址這些塊。
不過事情總不是絕對的,現在你可以在固態硬盤上訪問已刪除的數據,不過方法也是唯一的,就是取下芯片,并手動進行分析,這個進程非常耗時,復雜且使用的設備相當昂貴。為此我們詢問了數據恢復的一些專家,他們告訴我們他們大約可以在兩周內完成對一個四芯片固態硬盤的分析,而對最近的十芯片固態硬盤,他們也毫無辦法。
最近的一項發現指出,Windows內置的BitLocker保護傾向于將加密數據的任務委托給固態硬盤控制器,而不是在使用CPU的計算機上進行加密。正如研究中所發現的那樣,許多消費級固態硬盤都可以輕松地讓加密密鑰不受固態硬盤上存儲芯片的保護。
在本文中,我們將討論固態硬盤取證的最新發展技術,即在開啟TRIM功能后,如何防止后臺數據被刪除,并提供對磁盤的整個存儲容量(包括不可尋址的區域)的訪問。該方法采用所謂的工廠訪問模式( factory access mode)。但是,在我們討論工廠訪問模式之前,讓我們首先看一下固態硬盤是如何存儲信息的,以及為什么這些信息很容易被刪除,且很難恢復。
固態硬盤如何存儲信息
與使用或多或少順序寫入(bar fragmentation 和壞扇區重新映射)的磁性硬盤驅動器不同,固態硬盤驅動器完全拋棄了線性寫入方式,而是將信息被分解成同時寫入不同NAND芯片的許多小的數據塊。這種并行寫入就是固態硬盤快速運行的原因,在某種程度上,我們就是談論安裝在單個PCB上的NAND芯片構建的raid0 (stripe)類陣列。
一個固態硬盤及時只擁有一塊NAND芯片的固態硬盤驅動器,那它也幾乎不會以線性方式寫入信息。存儲器芯片中的每個物理塊被可以被動態分配一個邏輯地址,以幫助固態硬盤控制器進行磨損均衡。因此,讀取NAND芯片的內容將返回一個拼圖,這就意味著你所想看到的內容是以一種隨機的方式混合在多個數據塊中。
注:磨損均衡(wear leveling)這項技術在flash設備的微控制器上使用了一種算法,來跟蹤flash內存上存儲空間的使用情況。這使得數據每次能夠重寫到內存中的不同地方,而不是一直寫入到內存中的同一個位置。
固態硬盤以及大多數其他類型的固態介質,都必須轉換NAND地址,其目的就是映射出壞的數據塊并提供耗損均衡。基本上所有的NAND的制造商都將其固態硬盤驅動器的寫入周期固定在大約1000到1500之間。諸如(Write Amplification,寫入放大)等因素都會對固態硬盤壽命產生負面影響,而智能SLC緩存算法會減少存儲單元的物理磨損,即使寫入操作的數量大于沒有緩存的數量,也會如此。我們將在下一篇文章中介紹影響固態硬盤壽命的許多其他因素。
注:WA是閃存及SSD相關的一個極為重要的屬性。由于閃存必須先擦除才能再寫入的特性,在執行這些操作時,數據都會被移動超過1次。這些重復的操作不單會增加寫入的數據量,還會減少閃存的壽命,更吃光閃存的可用帶寬而間接影響隨機寫入性能。WA這個術語在2008年被Intel公司和SiliconSystems公司(于2009 年被西部數據收購)第一次提出并在公開稿件里使用。
真正重要的是,如果沒有固態硬盤控制器的幫助,即便只恢復一個文件都可能會非常困難。為此專家首先要做的就是必須重建轉換表(translation table ),以確定哪些NAND芯片以及它們在哪些確切地址保存信息。不同的固態硬盤控制器的轉換表所采用的格式都是不同的,固態硬盤驅動器包含的NAND芯片越多,重建轉換表就越困難。
隨著電子設備的成本逐年下降,存儲容量超過1TB甚至2TB數據的固態硬盤驅動器現在可以被普通消費者使用了,而在三年前這種普及情況還是無法想象的。
為了以更低的價格生產具有更大容量的固態存儲器,制造商必須將更多的存儲單元擠壓到相同或更小的空間上。這無比就會減小每個單元的尺寸,減少使用壽命。雖然基于SLC的NAND閃存可以在每個單元中保存一位信息,但MLC NAND( 全稱為Multi-Level Cell,多層單元閃存,MLC通過使用大量的電壓等級,每一個單元儲存兩位數據,數據密度比較高)卻可以存儲兩位數據。如今的固態硬盤驅動器主要是TLC(每個單元三位數據),即便最便宜的驅動器可能每個單元包含四位(QLC NAND)。與低密度的NAND相比,每次迭代都會使NAND閃存的速度明顯變慢,更重要的是,可靠性會降低。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺