固態(tài)硬盤對法庭證據(jù)的破壞及可采取措施(一)
本文由金恒源同學(xué)編譯,由陳裕銘�����、Roe校對��,轉(zhuǎn)載請注明�����。
固態(tài)硬盤(Solid State drives��,SSD)使計算機取證原則發(fā)生了巨大變化��。配備有固態(tài)硬盤的計算機與配備傳統(tǒng)磁盤的計算機在取證方式上有很大不同����。嫌疑人試圖銷毀的信息不再具有高度可恢復(fù)性��,目前取而代之的是取證工作陷入了無規(guī)律可循的僵局和無法預(yù)期的取證工作����,深水區(qū)�,即——隨機取證。
隨機取證
如今固態(tài)硬盤的運行方式使得取證現(xiàn)狀不容樂觀��。對于固態(tài)硬盤��,唯一可以假設(shè)的是調(diào)查人員可以訪問存儲在磁盤上的現(xiàn)有信息���。嫌疑人試圖銷毀的文件和數(shù)據(jù)(例如�,格式化磁盤——即使是在“快速格式化”模式下)可能會在幾分鐘內(nèi)永遠丟失[1]。即使計算機在發(fā)出破壞性命令后(例如����,在快速格式化)立即斷電,也沒有簡單方法可以在電源重啟后防止磁盤破壞被數(shù)據(jù)�。這種情況有點像一個悖論,讓人想起薛定諤的貓:在打開盒子之前���,永遠不知道貓是否還活著[2]����。
取證的黃金時代即將結(jié)束。澳大利亞默多克大學(xué)的科學(xué)家們寫道:“鑒于固態(tài)硬盤中內(nèi)存和主控技術(shù)的發(fā)展速度���,以及制造商����、驅(qū)動器和固件版本的日益增多���,在取證和法律領(lǐng)域內(nèi)��,可能永遠無法在取證和法律領(lǐng)域內(nèi)消除或縮小這一新的灰色地帶��。目前看來�,對被刪除的數(shù)據(jù)本身及其元數(shù)據(jù)進行取證恢復(fù)和分析的黃金時代可能要結(jié)束了”[1]����。
無法刪除
固態(tài)硬盤的構(gòu)造方式帶來了一些設(shè)計上的限制。現(xiàn)有類型的閃存在磨損前允許有限的寫入操作?��,F(xiàn)代固態(tài)硬盤采用智能磨損均衡技術(shù) [3]����,當存儲在某個塊中的數(shù)據(jù)被修改時,不會重復(fù)使用現(xiàn)有的內(nèi)存塊�����,而是將數(shù)據(jù)寫入其他不同的塊���。這反過來又會使含有潛在敏感信息的區(qū)塊散落在存儲芯片的各個角落。(譯者注:根據(jù)算法差異���,磨損均衡技術(shù)又可分為動態(tài)磨損均衡和靜態(tài)磨損均衡,此處介紹的是動態(tài)磨損均衡的情況�。)
為了進一步延長固態(tài)硬盤的有效使用壽命并改善磨損程度,許多制造商安裝的存儲芯片可以容納比宣傳中的數(shù)據(jù)多25%的容量[4]���。這種額外容量無法通過 操作系統(tǒng)或其他任何合理的方式解決訪問(例如���,不使用定制硬件以直接訪問閃存芯片)(譯者注:此處“合理的方式”,可理解為常規(guī)方式����,即通過操作系統(tǒng)或其他日常生活中正常使用的方式)����。這也使固態(tài)硬盤上的內(nèi)容無法按照某些政府和軍事標準所要求的那樣通過傳統(tǒng)手段安全地擦除�����。
為了緩解此問題���,一些固態(tài)硬盤制造商對ATA ANSI規(guī)范進行了擴展��,以實現(xiàn)安全銷毀閃存芯片上存儲的信息[5]����。當 ATA 安全擦除(SE)命令[4]正確執(zhí)行時����,將在硬件層面擦除硬盤的全部內(nèi)容���。
通常�,軟件安全擦除工具�,會使用加密的隨機數(shù)據(jù)對硬盤上的信息進行多次覆蓋���。但這些軟件工具的問題在于無法訪問固態(tài)硬盤的整個存儲空間(包括系統(tǒng)�、系統(tǒng)保留分區(qū)和重新分配的區(qū)域)。
同基于軟件層面的工具相反���,內(nèi)置主控中的ATA Secure Erase命令支持以電子方式擦除硬盤上所有閃存芯片上的所有塊�����。實際上�����,被擦除的固態(tài)硬盤已經(jīng)被完全刪除����,所有的塊完全是空的,可以立即寫入數(shù)據(jù)(在向被擦除塊寫入信息之前�,不需要額外的擦除周期)。該命令有效地恢復(fù)了固態(tài)硬盤的出廠設(shè)置和寫入性能��。當SE命令正確執(zhí)行[4] [13]時,將完全擦除固態(tài)硬盤的所有存儲區(qū)域��,包括任何保留區(qū)�����、系統(tǒng)和服務(wù)區(qū)����。
在英特爾自加密固態(tài)硬盤中發(fā)現(xiàn)了一個正確實現(xiàn)安全擦除的例子�。根據(jù)英特爾[13]的說法,“例如在英特爾? SSD工具箱中發(fā)現(xiàn)的功能�����,執(zhí)行SECURE ERASE功能��,將使英特爾320系列固態(tài)硬盤產(chǎn)生一個新的內(nèi)部加密密鑰����?����!?這將使存儲在英特爾320系列固態(tài)硬盤(和其他支持硬件級全盤加密的設(shè)備)上的所有加密的用戶數(shù)據(jù)瞬間無法使用。
無法恢復(fù)
另一方面���,固態(tài)硬盤使得無法可靠地恢復(fù)已刪除的信息無法被可靠地恢復(fù)���。磨損均衡技術(shù)會在每次寫入操作開始時占用以前未被占用的數(shù)據(jù)塊,這將導(dǎo)致硬盤的存儲容量被大量使用��。即使是對同一文件(如頁面文件)的重復(fù)寫入�,也會導(dǎo)致固態(tài)硬盤的整個內(nèi)容變“臟”而導(dǎo)致性能嚴重下降,寫入速度比平時慢得多�。之所以出現(xiàn)這種情況是因為固態(tài)硬盤所使用的閃存技術(shù)在對其進行寫入操作前,主控必須將塊擦除。這種特性是基于閃存技術(shù)的存儲設(shè)備所特有的�,與傳統(tǒng)磁盤的寫入處理寫入請求的方式有很大的不同。(譯者注:此文的“臟”可理解為“無序”或“混亂”)
由于對之前占用數(shù)據(jù)塊的擦除過程比讀寫要慢得多��,因此滿是“臟”數(shù)據(jù)塊的固態(tài)硬盤在寫入哪怕一個數(shù)據(jù)塊時都需要大量的時間����,因為沒有空(擦除的)數(shù)據(jù)塊存在。這便使得固態(tài)硬盤制造商設(shè)計了一個執(zhí)行垃圾回收的過程�����,在后臺擦除“臟”塊,使其可以再次進行快速寫操作��。
垃圾回收的問題在于硬盤和主控都不知道哪些數(shù)據(jù)塊是實際被操作系統(tǒng)文件或系統(tǒng)結(jié)構(gòu)占用的����,哪些數(shù)據(jù)塊不再使用��,只是“臟”��。在硬盤的正常使用中����,通常涉及創(chuàng)建�、寫入、修改和刪除文件�����,雖然主控可以標記被重映射到另一個塊作為磨損均衡過程的一部分����,但這一信息只會減慢硬盤被“臟”塊填滿的過程。
為了緩解這個問題�����,固態(tài)硬盤設(shè)計人員開發(fā)了一個接口���,允許操作系統(tǒng)(例如Windows, Linux, Mac OS X等)通過TRIM命令[6]通知主控某些塊不再使用���。這將允許內(nèi)部垃圾回收器以電子方式擦除這些塊的內(nèi)容,為將來的寫操作做好準備�。
由垃圾回收器處理的數(shù)據(jù)塊會被物理擦除。即使使用昂貴的自定義硬件�����,也無法恢復(fù)這些塊中的信息。研究人員將這一過程命名為“自毀”[7] [12]�����。
參考文獻
[1] Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery? http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf
[2] http://en.wikipedia.org/wiki/Schr%C3%B6dinger's_cat
[3] Wear Leveling http://en.wikipedia.org/wiki/Wear_leveling
[4] Reliably Erasing Data From Flash-Based Solid State Drives http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf
[5] SSD Data Wiping: Sanitize or Secure Erase SSDs? http://www.kingston.com/us/community/articletype/articleview/articleid/202/ssd-data-wiping-sanitize-or-secure-erase-ssds.aspx
[6] TRIM http://en.wikipedia.org/wiki/TRIM
[7] Modern SSDs self-destroy court evidence http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence
[8] Retrieving Digital Evidence: Methods, Techniques and Issues https://belkasoft.com/en/retrieving-digital-evidence-methods-techniques-and-issues
[9] Belkasoft Evidence Center 2012 Help: Carving https://belkasoft.com/en/bec/en/Carving.asp
[10] Intel SSD, TRIM support http://www.intel.com/support/ssdc/hpssd/sb/CS-031846.htm
[11] Recovering Information from SSD Drives: Myths and Reality http://hetmanrecovery.com/recovery_news/vosstanovlenie-informacii-s-ssd-nakopit.htm
[12] Solid state drives and forensic troubles http://tech.wiredpig.us/post/12292126487/solid-state-drives-and-forensic-troubles
[13] Intel 320-series SSD and FDE (Full Disk Encryption) questions... http://communities.intel.com/thread/20537
參考鏈接:
https://belkasoft.com/why-ssd-destroy-court-evidence