如何使用工厂访问模式镜像固态硬盘驱动器之一

Trim的作用

在原理对的机械硬盘上，写入数据时，Windows会通知硬盘先将以前的删除，再将新的数据写入到磁盘中。而在删除数据时，Windows只会在此处做个标记，说明这里应该是没有东西了，等到真正要写入数据时再来真正删除，并且做标记这个动作会保留在磁盘缓存中，等到磁盘空闲时再执行。这样一来，磁盘需要更多的时间来执行以上操作，速度当然会慢下来。而当Windows识别到固态硬盘并确认固态硬盘支持Trim后，在删除数据时，会不向硬盘通知删除指令，只使用Volume Bitmap来记住这里的数据已经删除。Volume Bitmap只是一个磁盘快照，其建立速度比直接读写硬盘去标记删除区域要快得多。这一步就已经省下一大笔时间了。然后再是写入数据的时候，由于NAND闪存保存数据是纯粹的数字形式，因此可以直接根据Volume Bitmap的情况，向快照中已删除的区域写入新的数据，而不用花时间去删除原本的数据。注意：如果固态硬盘组建RAID0阵列0后，将失去Trim功能。

对固态硬盘进行镜像后，即使在镜像时实际数据仍然存在，你也将无法在删除区域找到任何内容-。需要注意的是，你的固态硬盘的存储容量比说明书上写的要大，因为物理存储容量的5%到15%专用于不可寻址池，从固态硬盘中删除的任何数据，在被系统经过Trim处理后都可以直接进入该池，而不需要访问甚至寻址这些块。

不过事情总不是绝对的，现在你可以在固态硬盘上访问已删除的数据，不过方法也是唯一的，就是取下芯片，并手动进行分析，这个进程非常耗时，复杂且使用的设备相当昂贵。为此我们询问了数据恢复的一些专家，他们告诉我们他们大约可以在两周内完成对一个四芯片固态硬盘的分析，而对最近的十芯片固态硬盘，他们也毫无办法。

最近的一项发现指出，Windows内置的BitLocker保护倾向于将加密数据的任务委托给固态硬盘控制器，而不是在使用CPU的计算机上进行加密。正如研究中所发现的那样，许多消费级固态硬盘都可以轻松地让加密密钥不受固态硬盘上存储芯片的保护。

在本文中，我们将讨论固态硬盘取证的***发展技术，即在开启TRIM功能后，如何防止后台数据被删除，并提供对磁盘的整个存储容量（包括不可寻址的区域）的访问。该方法采用所谓的工厂访问模式（ factory access mode）。但是，在我们讨论工厂访问模式之前，让我们首先看一下固态硬盘是如何存储信息的，以及为什么这些信息很容易被删除，且很难恢复。

固态硬盘如何存储信息

与使用或多或少顺序写入（bar fragmentation 和坏扇区重新映射）的磁性硬盘驱动器不同，固态硬盘驱动器完全抛弃了线性写入方式，而是将信息被分解成同时写入不同NAND芯片的许多小的数据块。这种并行写入就是固态硬盘快速运行的原因，在某种程度上，我们就是谈论安装在单个PCB上的NAND芯片构建的raid0 (stripe)类阵列。

一个固态硬盘及时只拥有一块NAND芯片的固态硬盘驱动器，那它也几乎不会以线性方式写入信息。存储器芯片中的每个物理块被可以被动态分配一个逻辑地址，以帮助固态硬盘控制器进行磨损均衡。因此，读取NAND芯片的内容将返回一个拼图，这就意味着你所想看到的内容是以一种随机的方式混合在多个数据块中。

注：磨损均衡（wear leveling）这项技术在flash设备的微控制器上使用了一种算法，来跟踪flash内存上存储空间的使用情况。这使得数据每次能

Trim的作用

在原理对的机械硬盘上，写入数据时，Windows会通知硬盘先将以前的删除，再将新的数据写入到磁盘中。而在删除数据时，Windows只会在此处做个标记，说明这里应该是没有东西了，等到真正要写入数据时再来真正删除，并且做标记这个动作会保留在磁盘缓存中，等到磁盘空闲时再执行。这样一来，磁盘需要更多的时间来执行以上操作，速度当然会慢下来。而当Windows识别到固态硬盘并确认固态硬盘支持Trim后，在删除数据时，会不向硬盘通知删除指令，只使用Volume Bitmap来记住这里的数据已经删除。Volume Bitmap只是一个磁盘快照，其建立速度比直接读写硬盘去标记删除区域要快得多。这一步就已经省下一大笔时间了。然后再是写入数据的时候，由于NAND闪存保存数据是纯粹的数字形式，因此可以直接根据Volume Bitmap的情况，向快照中已删除的区域写入新的数据，而不用花时间去删除原本的数据。注意：如果固态硬盘组建RAID0阵列0后，将失去Trim功能。

对固态硬盘进行镜像后，即使在镜像时实际数据仍然存在，你也将无法在删除区域找到任何内容-。需要注意的是，你的固态硬盘的存储容量比说明书上写的要大，因为物理存储容量的5%到15%专用于不可寻址池，从固态硬盘中删除的任何数据，在被系统经过Trim处理后都可以直接进入该池，而不需要访问甚至寻址这些块。

不过事情总不是绝对的，现在你可以在固态硬盘上访问已删除的数据，不过方法也是唯一的，就是取下芯片，并手动进行分析，这个进程非常耗时，复杂且使用的设备相当昂贵。为此我们询问了数据恢复的一些专家，他们告诉我们他们大约可以在两周内完成对一个四芯片固态硬盘的分析，而对最近的十芯片固态硬盘，他们也毫无办法。

最近的一项发现指出，Windows内置的BitLocker保护倾向于将加密数据的任务委托给固态硬盘控制器，而不是在使用CPU的计算机上进行加密。正如研究中所发现的那样，许多消费级固态硬盘都可以轻松地让加密密钥不受固态硬盘上存储芯片的保护。

在本文中，我们将讨论固态硬盘取证的***发展技术，即在开启TRIM功能后，如何防止后台数据被删除，并提供对磁盘的整个存储容量（包括不可寻址的区域）的访问。该方法采用所谓的工厂访问模式（ factory access mode）。但是，在我们讨论工厂访问模式之前，让我们首先看一下固态硬盘是如何存储信息的，以及为什么这些信息很容易被删除，且很难恢复。

固态硬盘如何存储信息

与使用或多或少顺序写入（bar fragmentation 和坏扇区重新映射）的磁性硬盘驱动器不同，固态硬盘驱动器完全抛弃了线性写入方式，而是将信息被分解成同时写入不同NAND芯片的许多小的数据块。这种并行写入就是固态硬盘快速运行的原因，在某种程度上，我们就是谈论安装在单个PCB上的NAND芯片构建的raid0 (stripe)类阵列。

一个固态硬盘及时只拥有一块NAND芯片的固态硬盘驱动器，那它也几乎不会以线性方式写入信息。存储器芯片中的每个物理块被可以被动态分配一个逻辑地址，以帮助固态硬盘控制器进行磨损均衡。因此，读取NAND芯片的内容将返回一个拼图，这就意味着你所想看到的内容是以一种随机的方式混合在多个数据块中。

注：磨损均衡（wear leveling）这项技术在flash设备的微控制器上使用了一种算法，来跟踪flash内存上存储空间的使用情况。这使得数据每次能

（编辑：沧州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!