固态硬盘对法庭证据的破坏及可采取措施(一)
2023-6-30 17:19:34 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

本文由金恒源同学编译,由陈裕铭、Roe校对,转载请注明。

固态硬盘(Solid State drives,SSD)使计算机取证原则发生了巨大变化。配备有固态硬盘的计算机与配备传统磁盘的计算机在取证方式上有很大不同。嫌疑人试图销毁的信息不再具有高度可恢复性,目前取而代之的是取证工作陷入了无规律可循的僵局和无法预期的取证工作,深水区,即——随机取证。

随机取证

如今固态硬盘的运行方式使得取证现状不容乐观。对于固态硬盘,唯一可以假设的是调查人员可以访问存储在磁盘上的现有信息。嫌疑人试图销毁的文件和数据(例如,格式化磁盘——即使是在“快速格式化”模式下)可能会在几分钟内永远丢失[1]。即使计算机在发出破坏性命令后(例如,在快速格式化)立即断电,也没有简单方法可以在电源重启后防止磁盘破坏被数据。这种情况有点像一个悖论,让人想起薛定谔的猫:在打开盒子之前,永远不知道猫是否还活着[2]。

取证的黄金时代即将结束。澳大利亚默多克大学的科学家们写道:“鉴于固态硬盘中内存和主控技术的发展速度,以及制造商、驱动器和固件版本的日益增多,在取证和法律领域内,可能永远无法在取证和法律领域内消除或缩小这一新的灰色地带。目前看来,对被删除的数据本身及其元数据进行取证恢复和分析的黄金时代可能要结束了”[1]。

无法删除

固态硬盘的构造方式带来了一些设计上的限制。现有类型的闪存在磨损前允许有限的写入操作。现代固态硬盘采用智能磨损均衡技术 [3],当存储在某个块中的数据被修改时,不会重复使用现有的内存块,而是将数据写入其他不同的块。这反过来又会使含有潜在敏感信息的区块散落在存储芯片的各个角落。(译者注:根据算法差异,磨损均衡技术又可分为动态磨损均衡和静态磨损均衡,此处介绍的是动态磨损均衡的情况。)

为了进一步延长固态硬盘的有效使用寿命并改善磨损程度,许多制造商安装的存储芯片可以容纳比宣传中的数据多25%的容量[4]。这种额外容量无法通过 操作系统或其他任何合理的方式解决访问(例如,不使用定制硬件以直接访问闪存芯片)(译者注:此处“合理的方式”,可理解为常规方式,即通过操作系统或其他日常生活中正常使用的方式)。这也使固态硬盘上的内容无法按照某些政府和军事标准所要求的那样通过传统手段安全地擦除。

为了缓解此问题,一些固态硬盘制造商对ATA ANSI规范进行了扩展,以实现安全销毁闪存芯片上存储的信息[5]。当 ATA 安全擦除(SE)命令[4]正确执行时,将在硬件层面擦除硬盘的全部内容。

通常,软件安全擦除工具,会使用加密的随机数据对硬盘上的信息进行多次覆盖。但这些软件工具的问题在于无法访问固态硬盘的整个存储空间(包括系统、系统保留分区和重新分配的区域)。

同基于软件层面的工具相反,内置主控中的ATA Secure Erase命令支持以电子方式擦除硬盘上所有闪存芯片上的所有块。实际上,被擦除的固态硬盘已经被完全删除,所有的块完全是空的,可以立即写入数据(在向被擦除块写入信息之前,不需要额外的擦除周期)。该命令有效地恢复了固态硬盘的出厂设置和写入性能。当SE命令正确执行[4] [13]时,将完全擦除固态硬盘的所有存储区域,包括任何保留区、系统和服务区。

在英特尔自加密固态硬盘中发现了一个正确实现安全擦除的例子。根据英特尔[13]的说法,“例如在英特尔® SSD工具箱中发现的功能,执行SECURE ERASE功能,将使英特尔320系列固态硬盘产生一个新的内部加密密钥。” 这将使存储在英特尔320系列固态硬盘(和其他支持硬件级全盘加密的设备)上的所有加密的用户数据瞬间无法使用。

无法恢复

另一方面,固态硬盘使得无法可靠地恢复已删除的信息无法被可靠地恢复。磨损均衡技术会在每次写入操作开始时占用以前未被占用的数据块,这将导致硬盘的存储容量被大量使用。即使是对同一文件(如页面文件)的重复写入,也会导致固态硬盘的整个内容变“脏”而导致性能严重下降,写入速度比平时慢得多。之所以出现这种情况是因为固态硬盘所使用的闪存技术在对其进行写入操作前,主控必须将块擦除。这种特性是基于闪存技术的存储设备所特有的,与传统磁盘的写入处理写入请求的方式有很大的不同。(译者注:此文的“脏”可理解为“无序”或“混乱”)

由于对之前占用数据块的擦除过程比读写要慢得多,因此满是“脏”数据块的固态硬盘在写入哪怕一个数据块时都需要大量的时间,因为没有空(擦除的)数据块存在。这便使得固态硬盘制造商设计了一个执行垃圾回收的过程,在后台擦除“脏”块,使其可以再次进行快速写操作。

垃圾回收的问题在于硬盘和主控都不知道哪些数据块是实际被操作系统文件或系统结构占用的,哪些数据块不再使用,只是“脏”。在硬盘的正常使用中,通常涉及创建、写入、修改和删除文件,虽然主控可以标记被重映射到另一个块作为磨损均衡过程的一部分,但这一信息只会减慢硬盘被“脏”块填满的过程。

为了缓解这个问题,固态硬盘设计人员开发了一个接口,允许操作系统(例如Windows, Linux, Mac OS X等)通过TRIM命令[6]通知主控某些块不再使用。这将允许内部垃圾回收器以电子方式擦除这些块的内容,为将来的写操作做好准备。

由垃圾回收器处理的数据块会被物理擦除。即使使用昂贵的自定义硬件,也无法恢复这些块中的信息。研究人员将这一过程命名为“自毁”[7] [12]。

参考文献

[1] Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?  http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf

[2]  http://en.wikipedia.org/wiki/Schr%C3%B6dinger's_cat

[3] Wear Leveling http://en.wikipedia.org/wiki/Wear_leveling

[4] Reliably Erasing Data From Flash-Based Solid State Drives http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf

[5] SSD Data Wiping: Sanitize or Secure Erase SSDs? http://www.kingston.com/us/community/articletype/articleview/articleid/202/ssd-data-wiping-sanitize-or-secure-erase-ssds.aspx

[6] TRIM  http://en.wikipedia.org/wiki/TRIM

[7] Modern SSDs self-destroy court evidence http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence

[8] Retrieving Digital Evidence: Methods, Techniques and Issues https://belkasoft.com/en/retrieving-digital-evidence-methods-techniques-and-issues

[9] Belkasoft Evidence Center 2012 Help: Carving  https://belkasoft.com/en/bec/en/Carving.asp

[10] Intel SSD, TRIM support http://www.intel.com/support/ssdc/hpssd/sb/CS-031846.htm

[11] Recovering Information from SSD Drives: Myths and Reality http://hetmanrecovery.com/recovery_news/vosstanovlenie-informacii-s-ssd-nakopit.htm

[12] Solid state drives and forensic troubles http://tech.wiredpig.us/post/12292126487/solid-state-drives-and-forensic-troubles

[13] Intel 320-series SSD and FDE (Full Disk Encryption) questions... http://communities.intel.com/thread/20537

参考链接:

https://belkasoft.com/why-ssd-destroy-court-evidence


文章来源: https://mp.weixin.qq.com/s?__biz=MzIyNzU0NjIyMg==&mid=2247487694&idx=1&sn=17570dfb6793c83fbe3ce22ae3cc3516&chksm=e85ed5cfdf295cd91367abee1ef245c5dab74935e821ed2293fa5d25507e0a604dd953d5d9c0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh