Flash记忆健忘症-复活数据通过直接读取的NAND存储器

NAND存储器特写

任何可能出错的事情都会出错.”

这是墨菲定律。我们如何处理事后的后果决定了墨菲定律是对我们有利还是不利。

在我的第一篇博文中,我思考了数据恢复和数字取证之间的重叠和协同潜力张信哲代言博彩 欧宝娱乐,Greg Andrzejewski(研发负责人和GDF的共同所有者)告诉我,与我称之为“闪存健忘症”这很好地说明了这一点。

闪存数据恢复的成功案例

一位专业摄影师雇佣了Gillware Data Recovery试图欧宝娱乐百科张信哲代言博彩 欧宝娱乐从一个SD卡在她的摄影事业中使用。一对幸福的夫妇雇用她拍摄婚礼照片,她勤奋而巧妙地捕捉了这对新婚夫妇共同生活中的第一个和最难忘的时刻。永远不会再发生的时刻。为子孙后代捕捉的时刻。然后,她不小心用ca重新格式化了SD卡梅拉,它是装在里面的。说说墨菲定律吧!

摄影师试图自己找回照片,但没有成功。接下来,她把卡片寄给了Gillware的一个竞争对手,因为欧宝娱乐百科张信哲代言博彩 欧宝娱乐她意识到恢复这些数据需要专业的帮助,并希望他们能成功。竞争对手尝试恢复数据失败。摄影师被告知卡上的数据已损坏,无法恢复。墨菲罢工了!

幸运的是,我们勇敢的摄影师并没有被竞争者的答案吓倒。她打电话给吉尔威尔征求欧宝娱乐百科张信哲代言博彩 欧宝娱乐第二意见。

格雷格处理这个问题的方法和大多数有经验的鉴证师一样。他使用了写拦截器,预览了存储在卡上的数据。他看到所有的零和一张空的FAT表。这张卡片看起来就像崭新的一样。格雷格向摄影师解释说,她的相机执行的重新格式化过程并不只是一个简单的格式。相机的内存管理系统也应用了TRIM程序,使存储卡能够接受新数据。

如果这张闪存卡进了大多数法医实验室,那就完了。如果闪存卡显示的都是0,那它一定是空的,对吗?

但格雷格是2008年Gillware使用的固态数据恢复方法的先驱,他知道,虽然取证工具和十六进制编辑器可能会显示所有的零,但闪存会显欧宝娱乐百科张信哲代言博彩 欧宝娱乐示所有的零可能不是故事结束了1.他告诉摄影师,可能仍有可能取回这对新婚夫妇的照片。

这个故事让我大吃一惊,激发了我的想象力…

闪存失忆

以前存在的数据在LBA级别被覆盖,法医工具可以访问这些数据在NAND闪存阵列中保留的时间不确定。这可能是法医的潜在金矿。但潜在的隐藏宝藏“陈旧的数据”可能驻留在与非等待被清理,是无法通过正常手段。法医工具不能为了给你看而看到它。所有工具看到的都是空的记忆……闪存健忘症。

闪存存储器
闪存存储器

闪存基础知识:

与非闪存被分成大小相同的单元,称为“页面”.页面是可从内存中读取或写入内存的最小信息单位,类似于硬盘驱动器盘片上的扇区。连续页面的块被组合成“积木”. 这一点很重要,因为虽然块中的各个页面可以以任何顺序读取或写入,但是重新写一页必须先擦除整个块。

考虑一个页面大小为512字节和每个页面128页的闪存设备。一种简单的构造相机卡的方法是将逻辑块地址(LBA)线性映射到设备的每个物理页面。然而,这种方法的一个问题是对单个扇区的改变需要整个64KB(512×128)。块被擦除和重写。除了明显的性能损失外,NAND闪存块的程序擦除周期非常少。包含频繁更新数据(FAT表、主文件表等)的LBA范围将很快磨损并变得不可用。

那么,制造商该怎么做?

为了绕过NAND闪存的限制,固态存储设备使用一个强大的微处理器来管理底层存储。与静态逻辑到物理的映射不同,制造商开发了经过优化的复杂固件,以最大化性能和使用寿命。后者的积分技术称为穿平.因为每个闪存块有有限数量的程序擦除周期,固件寻求在闪存阵列上均匀地散布写操作。

对于在移动设备取证工作的取证人员来说,磨损水平伪影并不是一个新概念。我们经常看到,在垃圾收集和其他清理机制启动之前,随着新数据的添加,会出现多个版本的数据。

由于损耗均衡,写入LBA的新数据实际上永远不会存储到相同的物理位置。相反,新数据将写入固件认为合适的任何地方,Flash Translation Layer (FTL)也将更新到新的物理位置。FTL是负责逻辑到物理映射的固件组件,跟踪特定LBA的数据实际存储的位置。

但是之前存储在LBA中的数据呢?如果新数据被写入到其他地方,是否意味着旧数据就留在那里?一句话,是的。好吧,直到固件删除它。停下来,让它沉一点。之前的数据,在LBA级别上被覆盖的数据,比如通过重新格式化事件或在卡上的所有数据上写0,在NAND闪存阵列中保留不确定的时间

以前的数据究竟能保留多久取决于多种因素,尤其是固件的侵略性垃圾收集例行公事。更新存储在特定LBA中的数据的内部过程的一部分是将以前的数据标记为不再需要。在不活动期间,设备固件将执行垃圾收集,这将试图擦除包含不需要的数据的块,以便它们可以被重用。垃圾收集器不知道的是,它可能在无意中破坏了对调查至关重要的证据。这种现象有时被称为SSD的“自腐蚀”。

美国宇航局/喷气推进实验室/康奈尔大学,Maas数字有限责任公司-http://photojournal.jpl.nasa.gov/catalog/PIA04413 (图片链接),公共领域,https://commons.wikimedia.org/w/index.php?curid=565283
机遇号火星探测器——闪速记忆失忆,和墨菲定律的重大事件。图片来自NASA/喷气推进实验室/康奈尔大学Maas数字有限责任公司

闪存自腐蚀机制

固态存储器使用许多机制来清除其自身的行为,从而使其能够高效运行。这些机制有时被称为“自腐蚀机理。”在法医学领域,以我们无法控制的方式改变其他事物的事情是有问题的。一些人甚至声称,这些事情意味着法医学的结束。我读了很多论文,并与许多人讨论了与这些问题相关的工作,并已接受自我腐蚀是法医学中难以克服的障碍这不是第一次,也不会是最后一次。谢天谢地,到目前为止,我们的领域还没有在这些挑战面前崩溃。

另一个自腐蚀概念是修剪,这是一个从操作系统到设备的提示,即包含在特定LBAs中的数据不再需要(例如,当一个文件被删除后,或者当一个SD卡被格式化后,就像我们的故事中那样)。来自修剪过的LBAs的数据可能依然可见在一些设备上(非确定性TRIM),但在大多数设备上(包括我们的拍照者),它会立即消失。

因此闪存健忘症.数据可能仍然存在于NAND上,但设备似乎已经忘记了它。更具体地说,操作系统发出的TRIM命令指示设备丢失数据。这实际上对设备非常有利,因为超光速会随着时间的推移变得越来越复杂。遵循TRIM命令,可以从FTL中清除整个LBA范围的逻辑到物理映射,从而减轻固件记住所有内容实际存储位置的负担。对于不属于超光速的LBA的读请求可以通过简单地返回所有的零来填充。操作系统不会知道NAND中有“陈旧”的数据内容,您的取证工具也不会知道。

闪存数据提取选项

对于闪存设备,我们有两种数据提取方法:

1) 通过设备的正常设备接口(SATA、eMMC、SDIO等),或

2)直接读取一个或多个芯片的NAND闪存。

单个NAND闪存芯片使用行业标准接口,读取存储芯片的硬件适配器只需几百美元。直接读取芯片似乎很简单。

不幸的是,由于以下几个原因,使用直接从NAND读取的原始数据非常困难(……可能几乎不可能):

  • 大多数现代设备使用AES-128/256加密
  • 审查员必须手动确定超光速逻辑到物理的映射
  • 磨损水平可以留下数百个以前的修订为任何给定的LBA
  • 必须执行专有的错误修正程序以使数据可读
  • 移除NAND芯片会对原始设备造成物理破坏

这就是直接读取NAND闪存的“为什么不”。但有时,进入这个极其困难的领域会产生惊人的结果。

与闪存健忘症作斗争:

格雷格代表摄影师与墨菲定律进行了斗争。通过直接读取NAND存储器,他成功地恢复了数据,战胜了闪记忆健忘症。对NAND的直接解读并不是他面临的唯一挑战。SD卡是一个整体风格的卡,而不是传统的SD卡易于访问的组件。

在下面的图片中,你可以看到对比。右侧为传统SD卡,PCB组件外露。左边是单块风格的SD卡:

Monolith vs.传统SD卡
单片式SD卡(左)与传统SD卡(右)

在单片卡上访问NAND芯片不是一件容易的事情。但NAND芯片就在塑料下面的某个地方。问题是,你怎么得到它?

蜘蛛网连接

直接访问NAND内存

如果你仔细观察整个巨石的底部,你会注意到SD接触手指下方的微小测试点。测试点用于在制造过程中将初始固件映像写入闪存。如果测试点可以被用来写入原始闪存,那么它们也可以被用来从它读取。问题是,无法区分哪个测试点对应哪个信号。破译引脚映射需要一点好的老式逆向工程。然后使用逻辑分析仪在正常操作期间观察每个测试点的活动。如果测试点真正连接到NAND闪存总线,信号分配将慢慢显示自己,因为控制器与闪存交互。

有关如何工作的更多详细信息,请参阅Greg's视频

有了管脚映射,只需进行必要的连接即可转储原始NAND闪存。

因此,经过大量的耐心和大量的测试,格雷格从SD卡上的NAND中取出了数据。然后,他从手工组装的超光速中重建了一个磁盘图像,仔细地恢复了修剪后的逻辑到物理的映射,并应用了正确的专有错误纠正程序,这一过程值得在未来发表博文。

单片式SD卡的X射线图像,显示连接到控制器芯片的键合线。
单片式SD卡的X射线图像,显示连接到控制器芯片的键合线。

一个惊喜和幸福的结局:

格雷格打败了墨菲定律。他从SD卡上直接读取NAND芯片,恢复了300多张照片。

板载SD卡
SD卡通过直接读取闪存进行数据提取

这种数据恢复概念在数字取证中的应用是明确的。那张SD卡很可能属于儿童剥削案的嫌疑人,或者其他类似案件的嫌疑人。卡片可以故意重新格式化。

一个看似“空”的SD卡实际上可能包含大量用户创建的数据。作为鉴证人员,我们需要意识到这个事实,如果案件需要我们深入调查,我们需要找到获取潜在数据的方法。

只要记住:没有什么是不可能的,除非你让墨菲定律阻止你在事情出错时一次又一次地尝试。

因此,我们就得出了墨菲定律的安德热耶夫斯基推论:当事情可能会出错,而且确实会出错时,要不断努力解决摆在你面前的问题,直到看似不可能的事情变成可能。

默认的图片
欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复
文章:14
Baidu