本文由金恒源同学编译,由陈裕铭、Roe校对,转载请注明。
用于固态硬盘取证的硬件
目前,大多数涉及固态硬盘调查的取证研究仍然是在专用但仍然是普通的计算机上进行的。固态硬盘要么直接连接到计算机的SATA接口,要么与磁介质驱动器具有相同接口的通过只读设备连接。而只读设备确实可以防止用户对存储在固态硬盘上的数据进行修改,但它们与 TRIM 命令的操作和磁盘内部垃圾回收机制无关。必须认识到通过只读设备连接的固态硬盘将继续执行后台垃圾回收,可能会破坏磁盘中最后的删除信息残余。
防止内部垃圾回收机制的操作只能通过物理上断开主控与实际闪存芯片的连接,并直接访问存储在芯片中的信息才能实现。目前,这种方法尚未流行,因为它需要特殊技能和定制硬件。
固态硬盘主控和闪存块,图像取自http://webscopia.com/2011/10/what-is-an-ssd-solid-state-disk-basics-and-performance-measures/
定制硬件:固态硬盘取证的未来?
调查人员可以通过物理方式将主控分离并使用定制硬件直接从闪存芯片读取信息,进而提取可能存储在闪存芯片各个区域的被破坏信息的痕迹。
来自加利福尼亚大学的一组科学家[4]设计了一个基于FPGA的设备,在绕过主控的同时提供对固态硬盘闪存芯片的直接访问。研究人员估计他们的原型成本为1000美元,而他们使用微控制器而不是FPGA构建生产单元的估计成本只有 200 美元。
这就是固态硬盘取证的未来吗?虽然像加利福尼亚研究人员建造的那些定制设备可能有助于取证专家从某些固态硬盘中提取一些额外的痕迹,但同时其他研究人员认为,在用户删除文件或发出快速格式化命令后,大多数信息在短短的几分钟内就从固态硬盘中丢失了。需要维护定制的硬件,以及需要有经过专门培训的工作人员来使用这种方法,这只能使它在极少数选定的情况下是合理的。
结论
固态硬盘的取证是不同的。固态硬盘会自我销毁证据,这使得提取被删除的文件和被销毁的信息(例如从被格式化的磁盘中)变得几乎不可能。然而,正确的获取技术可以获取原始的二进制解密密钥,从而使调查人员能够访问存储在加密卷中的信息,获取从而提供比存储在固态硬盘的非加密区域更多的信息。此外,存在许多例外情况,可以有效地防止机制导致固态硬盘上的证据自毁机制。目前,NAS设备中使用的固态硬盘、参与RAID配置、通过USB和火线作为外部设备连接等都不存在证据自毁的问题。旧版本的Windows、Mac OS和Linux不支持固态硬盘的垃圾回收机制,也有例外。
市场变化日新月异。今天的真理明天可能就不再适用了。我们将密切关注这个行业发生的事情,并在几个月内发布一份更新的报告。
参考文献
[1] Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery? http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf
[2] http://en.wikipedia.org/wiki/Schr%C3%B6dinger's_cat
[3] Wear Leveling http://en.wikipedia.org/wiki/Wear_leveling
[4] Reliably Erasing Data From Flash-Based Solid State Drives http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf
[5] SSD Data Wiping: Sanitize or Secure Erase SSDs? http://www.kingston.com/us/community/articletype/articleview/articleid/202/ssd-data-wiping-sanitize-or-secure-erase-ssds.aspx
[6] TRIM http://en.wikipedia.org/wiki/TRIM
[7] Modern SSDs self-destroy court evidence http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence
[8] Retrieving Digital Evidence: Methods, Techniques and Issues https://belkasoft.com/en/retrieving-digital-evidence-methods-techniques-and-issues
[9] Belkasoft Evidence Center 2012 Help: Carving https://belkasoft.com/en/bec/en/Carving.asp
[10] Intel SSD, TRIM support http://www.intel.com/support/ssdc/hpssd/sb/CS-031846.htm
[11] Recovering Information from SSD Drives: Myths and Reality http://hetmanrecovery.com/recovery_news/vosstanovlenie-informacii-s-ssd-nakopit.htm
[12] Solid state drives and forensic troubles http://tech.wiredpig.us/post/12292126487/solid-state-drives-and-forensic-troubles
[13] Intel 320-series SSD and FDE (Full Disk Encryption) questions... http://communities.intel.com/thread/20537
参考链接:
https://belkasoft.com/why-ssd-destroy-court-evidence