Flash记忆健忘症-复活数据通过直接读取的NAND存储器

NAND记忆特写镜头

任何可能出错的东西都会出错.”

这是墨菲定律。我们如何处理事后的后果决定了墨菲定律是对我们有利还是不利。

在我的第一个博客文章中,我反映了数据恢复和数字取证之间的协同作用的重叠和成熟潜力。在我的早期访问之一张信哲代言博彩 欧宝娱乐,Greg Andrzejewski(GDF的研发和公司主管负责人)告诉我关于与神器相关的数据恢复“胜利”,我将参考“闪存记忆遗忘”这表明这一点很好。

闪存数据恢复成功故事

一位专业摄影师雇佣了Gillware Data Recovery试图欧宝娱乐百科张信哲代言博彩 欧宝娱乐从一个SD卡用于她的摄影业务。一对幸福的夫妻聘请她拍摄婚礼照片,她孜孜不倦地抓住了新婚夫妇里的第一个和最令人难忘的时刻。永远不会再发生的时刻。旨在被捕获的后世。然后,她不小心使用它安装的相机重新格式化了SD卡。谈论墨菲的法律时刻!

摄影师试图自己找回照片,但没有成功。接下来,她把卡片寄给了Gillware的一个竞争对手,因为欧宝娱乐百科张信哲代言博彩 欧宝娱乐她意识到恢复这些数据需要专业的帮助,并希望他们能成功。竞争对手尝试恢复数据失败。摄影师被告知卡上的数据已损坏,无法恢复。墨菲罢工了!

幸运的是,我们勇敢的摄影师并没有被竞争者的答案吓倒。她打电话给吉尔威尔征求欧宝娱乐百科张信哲代言博彩 欧宝娱乐第二意见。

格雷格处理这个问题的方法和大多数有经验的鉴证师一样。他使用了写拦截器,预览了存储在卡上的数据。他看到所有的零和一张空的FAT表。这张卡片看起来就像崭新的一样。格雷格向摄影师解释说,她的相机执行的重新格式化过程并不只是一个简单的格式。相机的内存管理系统也应用了TRIM程序,使存储卡能够接受新数据。

如果这张闪存卡进了大多数法医实验室,那就完了。如果闪存卡显示的都是0,那它一定是空的,对吗?

但是,Gillware在2008年使用的Gillware使用的Greg知道这一点虽然法医工具和十六进制编辑器可能会显示所有零,但闪存欧宝娱乐百科张信哲代言博彩 欧宝娱乐可能不是故事结束了.他告诉摄影师,可能仍然可能有可能让新婚夫妇的照片回来。

这是故事让我想象力的地方,引发了我的想象力......

闪存失忆

以前在LBA级别覆盖的现有数据,可以访问法语工具保留在NAND闪存阵列中,以确保时间不确定。这可以代表前硒的潜在金矿。但潜在的隐藏宝藏“陈旧的数据”可能驻留在与非等待被清理,是无法通过正常手段。法医工具不能为了给你看而看到它。所有工具看到的都是空的记忆……闪存健忘症。

闪存存储
闪存存储

闪存基础:

与非闪存被分成大小相同的单元,称为“页面”.页面是可以从硬盘驱动器盘上的扇区读取或写入存储器的最小信息单位。序列页的块被分组成“块”.这很重要,因为尽管块中的各个页面可以以任何顺序读取或写入,以便关于写入页面必须首先删除整个块。

考虑具有页面大小为512字节的闪存设备,每块128页。构建相机卡的简单方法是将逻辑块地址(LBA)线性地映射到设备的每个物理页面。然而,这种方法的问题是对单个扇区的改变需要整个64KB(512 * 128)块被擦除和重写。除了明显的性能惩罚,NAND闪存块具有珍贵的少数计划擦除周期。包含常用更新的数据(FAT表,主文件表等)的LBA范围会迅速磨损并变得无法使用。

那么,制造商是做什么的?

为了绕过NAND闪存的限制,固态存储设备使用一个强大的微处理器来管理底层存储。与静态逻辑到物理的映射不同,制造商开发了经过优化的复杂固件,以最大化性能和使用寿命。后者的积分技术称为穿平.因为每个闪存块有有限数量的程序擦除周期,固件寻求在闪存阵列上均匀地散布写操作。

对于在移动设备取证工作的取证人员来说,磨损水平伪影并不是一个新概念。我们经常看到,在垃圾收集和其他清理机制启动之前,随着新数据的添加,会出现多个版本的数据。

由于损耗均衡,写入LBA的新数据实际上永远不会存储到相同的物理位置。相反,新数据将写入固件认为合适的任何地方,Flash Translation Layer (FTL)也将更新到新的物理位置。FTL是负责逻辑到物理映射的固件组件,跟踪特定LBA的数据实际存储的位置。

但是之前存储在LBA中的数据呢?如果新数据被写入到其他地方,是否意味着旧数据就留在那里?一句话,是的。好吧,直到固件删除它。暂停并让稍微沉入其中。之前的数据,在LBA级别上被覆盖的数据,比如通过重新格式化事件或在卡上的所有数据上写0,保留在NAND闪存阵列中,以确保不确定的时间

以前的数据究竟能保留多久取决于多种因素,尤其是固件的侵略性垃圾收集例行公事。更新存储在特定LBA中的数据的内部过程的一部分是将以前的数据标记为不再需要。在不活动期间,设备固件将执行垃圾收集,这将试图擦除包含不需要的数据的块,以便它们可以被重用。垃圾收集器不知道的是,它可能在无意中破坏了对调查至关重要的证据。这种现象有时被称为SSD的“自腐蚀”。

作者:Nasa / JPL / Cornell University,Maas Digital LLC  -  http://photojournal.jpl.nasa.gov/catalog/pia04413(图片链接),public domain,https://commons.wikimedia.org/w/index.php?Curid = 565283
机遇号火星探测器——闪速记忆失忆,和墨菲定律的重大事件。图片来自NASA/喷气推进实验室/康奈尔大学Maas数字有限责任公司

闪存自腐蚀机制

固态内存使用许多机制来清理自己的行为,以便它可以有效地运行。这些机制有时被称为“自我腐蚀机制。“在取证世界中,以超越我们控制的方式对其他事情进行改变的事情是有问题的。有些甚至声称这样的事情拼写了取证的结束。我读了很多论文,并与许多关于这些问题有关的工作,并接受了自我腐蚀作为克服法医的困难障碍。这不是第一个,它不会是最后一个。值得庆幸的是,到目前为止,我们的领域没有在这些各种挑战面前爆发。

另一种自我腐蚀概念是修剪,这是一个从操作系统到设备的提示,即包含在特定LBAs中的数据不再需要(例如,当一个文件被删除后,或者当一个SD卡被格式化后,就像我们的故事中那样)。来自修剪过的LBAs的数据可能依然可见在一些设备上(非确定性TRIM),但在大多数设备上(包括我们的拍照者),它会立即消失。

因此闪存记忆宿舍.数据可能仍然存在于NAND上,但设备似乎已经忘记了它。更具体地说,操作系统发出的TRIM命令指示设备丢失数据。这实际上对设备非常有利,因为超光速会随着时间的推移变得越来越复杂。遵循TRIM命令,可以从FTL中清除整个LBA范围的逻辑到物理映射,从而减轻固件记住所有内容实际存储位置的负担。对于不属于超光速的LBA的读请求可以通过简单地返回所有的零来填充。操作系统不会知道NAND中有“陈旧”的数据内容,您的取证工具也不会知道。

闪存数据提取选项

使用闪存设备,我们有两个到数据提取的途径:

1)通过设备的常规设备接口(SATA,EMMC,SDIO等),或

2)直接读取一个或多个芯片的NAND闪存。

个人NAND闪存芯片使用行业标准接口,以及用于读取内存芯片的硬件适配器可用于几百美元。直接读取芯片似乎非常直接。

不幸的是,由于以下几个原因,使用直接从NAND读取的原始数据非常困难(……可能几乎不可能):

  • 大多数现代设备使用AES-128/256加密
  • 审查员必须手动确定超光速逻辑到物理的映射
  • 磨损水平可以留下数百个以前的修订为任何给定的LBA
  • 必须执行专有的错误修正程序以使数据可读
  • 删除NAND芯片对原始设备物理破坏

这就是直接读取NAND闪存的“为什么不”。但有时,进入这个极其困难的领域会产生惊人的结果。

战斗闪存健美因素:

格雷格代表摄影师与墨菲定律进行了斗争。通过直接读取NAND存储器,他成功地恢复了数据,战胜了闪记忆健忘症。对NAND的直接解读并不是他面临的唯一挑战。SD卡是一个整体风格的卡,而不是传统的SD卡易于访问的组件。

在下面的图片中,你可以看到对比。右侧为传统SD卡,PCB组件外露。左边是单块风格的SD卡:

Monolith与传统SD卡
单片式SD卡(左)与传统SD卡(右)

在单片卡上访问NAND芯片不是一件容易的事情。但NAND芯片就在塑料下面的某个地方。问题是,你怎么得到它?

蜘蛛网连接

直接访问NAND内存

如果你仔细观察整个巨石的底部,你会注意到SD接触手指下方的微小测试点。测试点用于在制造过程中将初始固件映像写入闪存。如果测试点可以被用来写入原始闪存,那么它们也可以被用来从它读取。问题是,无法区分哪个测试点对应哪个信号。破译引脚映射需要一点好的老式逆向工程。然后使用逻辑分析仪在正常操作期间观察每个测试点的活动。如果测试点真正连接到NAND闪存总线,信号分配将慢慢显示自己,因为控制器与闪存交互。

有关如何工作的更详细信息,请参阅Greg的视频。

使用PIN映射在手中,只需制定必要的连接以转储原始NAND闪存即可。

因此,经过大量的耐心和大量的测试,格雷格从SD卡上的NAND中取出了数据。然后,他从手工组装的超光速中重建了一个磁盘图像,仔细地恢复了修剪后的逻辑到物理的映射,并应用了正确的专有错误纠正程序,这一过程值得在未来发表博文。

单片式SD卡的x射线图像,显示连接到控制器模具的键合线。
单片式SD卡的x射线图像,显示连接到控制器模具的键合线。

一个惊喜和幸福的结局:

格雷格打败了墨菲定律。他从SD卡上直接读取NAND芯片,恢复了300多张照片。

板载SD卡
通过直接读取闪光灯的数据提取连接的SD卡

这种数据恢复概念在数字取证中的应用是明确的。那张SD卡很可能属于儿童剥削案的嫌疑人,或者其他类似案件的嫌疑人。卡片可以故意重新格式化。

一个看似“空”的SD卡实际上可能包含大量用户创建的数据。作为鉴证人员,我们需要意识到这个事实,如果案件需要我们深入调查,我们需要找到获取潜在数据的方法。

只要记住:没有什么是不可能的,除非你让墨菲定律阻止你在事情出错时一次又一次地尝试。

因此,我们就得出了墨菲定律的安德热耶夫斯基推论:当事情可能会出错,而且确实会出错时,要不断努力解决摆在你面前的问题,直到看似不可能的事情变成可能。

默认的图片
欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复
文章:14
Baidu