固態(tài)硬盤對(duì)法庭證據(jù)的破壞及可采取措施（一）

　　本文由金恒源同學(xué)編譯，由陳裕銘、Roe校對(duì)，轉(zhuǎn)載請注明。

　　固態(tài)硬盤（Solid State drives，SSD）使計(jì)算機(jī)取證原則發(fā)生了巨大變化。配備有固態(tài)硬盤的計(jì)算機(jī)與配備傳統(tǒng)磁盤的計(jì)算機(jī)在取證方式上有很大不同。嫌疑人試圖銷毀的信息不再具有高度可恢復(fù)性，目前取而代之的是取證工作陷入了無規(guī)律可循的僵局和無法預(yù)期的取證工作，深水區(qū)，即——隨機(jī)取證。

　　隨機(jī)取證

　　如今固態(tài)硬盤的運(yùn)行方式使得取證現(xiàn)狀不容樂觀。對(duì)于固態(tài)硬盤，唯一可以假設(shè)的是調(diào)查人員可以訪問存儲(chǔ)在磁盤上的現(xiàn)有信息。嫌疑人試圖銷毀的文件和數(shù)據(jù)(例如，格式化磁盤——即使是在“快速格式化”模式下)可能會(huì)在幾分鐘內(nèi)永遠(yuǎn)丟失[1]。即使計(jì)算機(jī)在發(fā)出破壞性命令后（例如，在快速格式化）立即斷電，也沒有簡單方法可以在電源重啟后防止磁盤破壞被數(shù)據(jù)。這種情況有點(diǎn)像一個(gè)悖論，讓人想起薛定諤的貓：在打開盒子之前，永遠(yuǎn)不知道貓是否還活著[2]。

　　取證的黃金時(shí)代即將結(jié)束。澳大利亞默多克大學(xué)的科學(xué)家們寫道：“鑒于固態(tài)硬盤中內(nèi)存和主控技術(shù)的發(fā)展速度，以及制造商、驅(qū)動(dòng)器和固件版本的日益增多，在取證和法律領(lǐng)域內(nèi)，可能永遠(yuǎn)無法在取證和法律領(lǐng)域內(nèi)消除或縮小這一新的灰色地帶。目前看來，對(duì)被刪除的數(shù)據(jù)本身及其元數(shù)據(jù)進(jìn)行取證恢復(fù)和分析的黃金時(shí)代可能要結(jié)束了”[1]。

　　無法刪除

　　固態(tài)硬盤的構(gòu)造方式帶來了一些設(shè)計(jì)上的限制。現(xiàn)有類型的閃存在磨損前允許有限的寫入操作。現(xiàn)代固態(tài)硬盤采用智能磨損均衡技術(shù) [3]，當(dāng)存儲(chǔ)在某個(gè)塊中的數(shù)據(jù)被修改時(shí)，不會(huì)重復(fù)使用現(xiàn)有的內(nèi)存塊，而是將數(shù)據(jù)寫入其他不同的塊。這反過來又會(huì)使含有潛在敏感信息的區(qū)塊散落在存儲(chǔ)芯片的各個(gè)角落。（譯者注：根據(jù)算法差異，磨損均衡技術(shù)又可分為動(dòng)態(tài)磨損均衡和靜態(tài)磨損均衡，此處介紹的是動(dòng)態(tài)磨損均衡的情況。）

　　為了進(jìn)一步延長固態(tài)硬盤的有效使用壽命并改善磨損程度，許多制造商安裝的存儲(chǔ)芯片可以容納比宣傳中的數(shù)據(jù)多25%的容量[4]。這種額外容量無法通過 操作系統(tǒng)或其他任何合理的方式解決訪問（例如，不使用定制硬件以直接訪問閃存芯片）（譯者注：此處“合理的方式”，可理解為常規(guī)方式，即通過操作系統(tǒng)或其他日常生活中正常使用的方式）。這也使固態(tài)硬盤上的內(nèi)容無法按照某些政府和軍事標(biāo)準(zhǔn)所要求的那樣通過傳統(tǒng)手段安全地擦除。

　　為了緩解此問題，一些固態(tài)硬盤制造商對(duì)ATA ANSI規(guī)范進(jìn)行了擴(kuò)展，以實(shí)現(xiàn)安全銷毀閃存芯片上存儲(chǔ)的信息[5]。當(dāng) ATA 安全擦除（SE）命令[4]正確執(zhí)行時(shí)，將在硬件層面擦除硬盤的全部內(nèi)容。

　　通常，軟件安全擦除工具，會(huì)使用加密的隨機(jī)數(shù)據(jù)對(duì)硬盤上的信息進(jìn)行多次覆蓋。但這些軟件工具的問題在于無法訪問固態(tài)硬盤的整個(gè)存儲(chǔ)空間（包括系統(tǒng)、系統(tǒng)保留分區(qū)和重新分配的區(qū)域）。

　　同基于軟件層面的工具相反，內(nèi)置主控中的ATA Secure Erase命令支持以電子方式擦除硬盤上所有閃存芯片上的所有塊。實(shí)際上，被擦除的固態(tài)硬盤已經(jīng)被完全刪除，所有的塊完全是空的，可以立即寫入數(shù)據(jù)(在向被擦除塊寫入信息之前，不需要額外的擦除周期)。該命令有效地恢復(fù)了固態(tài)硬盤的出廠設(shè)置和寫入性能。當(dāng)SE命令正確執(zhí)行[4] [13]時(shí)，將完全擦除固態(tài)硬盤的所有存儲(chǔ)區(qū)域，包括任何保留區(qū)、系統(tǒng)和服務(wù)區(qū)。

　　在英特爾自加密固態(tài)硬盤中發(fā)現(xiàn)了一個(gè)正確實(shí)現(xiàn)安全擦除的例子。根據(jù)英特爾[13]的說法，“例如在英特爾? SSD工具箱中發(fā)現(xiàn)的功能，執(zhí)行SECURE ERASE功能，將使英特爾320系列固態(tài)硬盤產(chǎn)生一個(gè)新的內(nèi)部加密密鑰。” 這將使存儲(chǔ)在英特爾320系列固態(tài)硬盤（和其他支持硬件級(jí)全盤加密的設(shè)備）上的所有加密的用戶數(shù)據(jù)瞬間無法使用。

　　無法恢復(fù)

　　另一方面，固態(tài)硬盤使得無法可靠地恢復(fù)已刪除的信息無法被可靠地恢復(fù)。磨損均衡技術(shù)會(huì)在每次寫入操作開始時(shí)占用以前未被占用的數(shù)據(jù)塊，這將導(dǎo)致硬盤的存儲(chǔ)容量被大量使用。即使是對(duì)同一文件（如頁面文件）的重復(fù)寫入，也會(huì)導(dǎo)致固態(tài)硬盤的整個(gè)內(nèi)容變“臟”而導(dǎo)致性能嚴(yán)重下降，寫入速度比平時(shí)慢得多。之所以出現(xiàn)這種情況是因?yàn)楣虘B(tài)硬盤所使用的閃存技術(shù)在對(duì)其進(jìn)行寫入操作前，主控必須將塊擦除。這種特性是基于閃存技術(shù)的存儲(chǔ)設(shè)備所特有的，與傳統(tǒng)磁盤的寫入處理寫入請求的方式有很大的不同。（譯者注：此文的“臟”可理解為“無序”或“混亂”）

　　由于對(duì)之前占用數(shù)據(jù)塊的擦除過程比讀寫要慢得多，因此滿是“臟”數(shù)據(jù)塊的固態(tài)硬盤在寫入哪怕一個(gè)數(shù)據(jù)塊時(shí)都需要大量的時(shí)間，因?yàn)闆]有空(擦除的)數(shù)據(jù)塊存在。這便使得固態(tài)硬盤制造商設(shè)計(jì)了一個(gè)執(zhí)行垃圾回收的過程，在后臺(tái)擦除“臟”塊，使其可以再次進(jìn)行快速寫操作。

　　垃圾回收的問題在于硬盤和主控都不知道哪些數(shù)據(jù)塊是實(shí)際被操作系統(tǒng)文件或系統(tǒng)結(jié)構(gòu)占用的，哪些數(shù)據(jù)塊不再使用，只是“臟”。在硬盤的正常使用中，通常涉及創(chuàng)建、寫入、修改和刪除文件，雖然主控可以標(biāo)記被重映射到另一個(gè)塊作為磨損均衡過程的一部分，但這一信息只會(huì)減慢硬盤被“臟”塊填滿的過程。

　　為了緩解這個(gè)問題，固態(tài)硬盤設(shè)計(jì)人員開發(fā)了一個(gè)接口，允許操作系統(tǒng)(例如Windows, Linux, Mac OS X等)通過TRIM命令[6]通知主控某些塊不再使用。這將允許內(nèi)部垃圾回收器以電子方式擦除這些塊的內(nèi)容，為將來的寫操作做好準(zhǔn)備。

　　由垃圾回收器處理的數(shù)據(jù)塊會(huì)被物理擦除。即使使用昂貴的自定義硬件，也無法恢復(fù)這些塊中的信息。研究人員將這一過程命名為“自毀”[7] [12]。

　　參考文獻(xiàn)

　　[1] Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery? http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf

　　[2] http://en.wikipedia.org/wiki/Schr%C3%B6dinger's_cat

　　[3] Wear Leveling http://en.wikipedia.org/wiki/Wear_leveling

　　[4] Reliably Erasing Data From Flash-Based Solid State Drives http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf

　　[5] SSD Data Wiping: Sanitize or Secure Erase SSDs? http://www.kingston.com/us/community/articletype/articleview/articleid/202/ssd-data-wiping-sanitize-or-secure-erase-ssds.aspx

　　[6] TRIM http://en.wikipedia.org/wiki/TRIM

　　[7] Modern SSDs self-destroy court evidence http://www.ssdfreaks.com/content/612/modern-ssds-self-destroy-court-evidence

　　[8] Retrieving Digital Evidence: Methods, Techniques and Issues https://belkasoft.com/en/retrieving-digital-evidence-methods-techniques-and-issues

　　[9] Belkasoft Evidence Center 2012 Help: Carving https://belkasoft.com/en/bec/en/Carving.asp

　　[10] Intel SSD, TRIM support http://www.intel.com/support/ssdc/hpssd/sb/CS-031846.htm

　　[11] Recovering Information from SSD Drives: Myths and Reality http://hetmanrecovery.com/recovery_news/vosstanovlenie-informacii-s-ssd-nakopit.htm

　　[12] Solid state drives and forensic troubles http://tech.wiredpig.us/post/12292126487/solid-state-drives-and-forensic-troubles

　　[13] Intel 320-series SSD and FDE (Full Disk Encryption) questions... http://communities.intel.com/thread/20537

　　參考鏈接：

　　https://belkasoft.com/why-ssd-destroy-court-evidence