闪存健忘症-通过直接读取NAND存储器恢复数据

NAND存储器特写

任何可能出错的事,都会出错.”

这就是墨菲定律。我们如何处理事后的后果,决定了墨菲定律对我们是有利还是不利。

在我的第一篇博客文章中,我反思了数据恢复和数字取证之间的重叠和成熟的协同潜力。在我早期的一次拜访张信哲代言博彩 欧宝娱乐, Greg Andrzejewski (GDF的研发主管和共同所有者)告诉我一个与工件相关的数据恢复“胜利”,我将称之为“闪光记忆失忆症”这很好地说明了这一点。

一个闪存数据恢复成功的故事

一个专业的摄影师雇佣了吉尔威尔数据恢复试图恢复数据从一个张信哲代言博彩 欧宝娱乐欧宝娱乐百科SD卡用于她的摄影生意。一对幸福的夫妇雇她拍摄婚纱照,她勤奋而巧妙地捕捉了新婚夫妇共同生活中最初和最难忘的时刻。那些永远不会再发生的时刻。想要被后人捕捉的时刻。然后,她不小心用相机重新格式化了SD卡。这就是墨菲定律时刻!

摄影师试图自己恢复这些图像,但无济于事。接下来,她把这张卡寄给了吉尔韦尔的竞争对手,她意识到恢复数欧宝娱乐百科张信哲代言博彩 欧宝娱乐据需要专业人员的帮助,并希望他们能成功。竞争对手试图恢复数据,但失败了。摄影师被告知卡上的数据已经损坏,无法恢复。墨菲又出手了!

幸运的是,我们勇敢的摄影师并没有被竞争者的回答吓住。她打电话给吉尔威尔征求欧宝娱乐百科张信哲代言博彩 欧宝娱乐意见。

格雷格处理这个问题的方式和大多数有经验的法医一样。他使用了写拦截器,预览了存储在卡上的数据。他看到全是0,还有一张空的FAT表。这张卡片看起来就像它是崭新的一样。格雷格向摄影师解释说,她的相机重新格式化的过程不仅仅是一个简单的格式。相机的内存管理系统也应用了TRIM流程,使卡可以接受新数据。

如果这张闪存卡出现在大多数法医实验室,那就完了。如果闪存卡显示的全是0,那它一定是空的,对吧?

但是,2008年吉尔威尔使用的固态数据恢复方法的先驱格雷格知道,虽然取证工具和十六进制编辑器可能会显示所有的零,但有了闪存张信哲代言博彩 欧宝娱乐欧宝娱乐百科也许不是故事结束了.他告诉摄影师,还是有可能拿回这对新婚夫妇的照片。

这就是这个故事让我震惊并激发我想象力的地方……

快闪记忆失忆症

以前存在的数据在LBA级别被覆盖,可以被取证工具访问在NAND闪存阵列中停留的时间不确定。这对法医来说可能是一个潜在的金矿。但是“陈旧数据”的潜在隐藏宝藏可能存在于与非等待被清理,是通过正常手段无法到达的。法医无法看到它,也无法向你展示。所有工具看到的都是空内存……闪光记忆失忆症。

闪存存储器
闪存存储器

闪存基础知识:

与非闪存被分成大小相等的单元,称为“页面”.页是可以从内存中读取或写入的最小的信息单位,类似于硬盘驱动器盘片上的扇区。连续的页面块被分组成“块”.这很重要,因为一个块中的各个页面可以以任何顺序读取或写入,以便再保险写一页,整个块必须先擦除。

考虑一个页面大小为512字节,每个块有128页的闪存设备。构造相机卡的一种简单方法是将逻辑块地址(LBA)线性映射到设备的每个物理页面。然而,这种方法的一个问题是,对单个扇区的更改将需要擦除和重写整个64KB(512*128)块。除了明显的性能损失外,NAND闪存块的程序擦除周期非常少。包含频繁更新的数据(FAT表、主文件表等)的LBA范围将很快损耗并变得不可用。

那么,制造商该怎么做呢?

为了克服NAND闪存的局限性,固态存储设备使用强大的微处理器来管理底层存储。与静态的逻辑到物理映射不同,制造商开发了经过优化的复杂固件,以最大限度地提高性能和使用寿命。对后者的积分技术被称为穿平.因为每个闪存块都有有限数量的程序擦除周期,固件寻求在闪存阵列上均匀地分布写操作。

对于从事移动设备取证工作的法医来说,磨损水平伪影并不是一个新概念。在垃圾收集和其他清理机制启动之前,随着新数据的添加,我们经常会看到多个版本的数据。

由于磨损均衡,写入LBA的新数据实际上永远不会存储到相同的物理位置。相反,新的数据被写入固件认为合适的任何地方,Flash转换层(FTL)会随着新的物理位置进行更新。FTL是负责逻辑到物理映射的固件组件,跟踪特定LBA的数据实际存储在何处。

但是之前存储在LBA中的数据呢?如果新数据被写入其他地方,这是否意味着旧数据就留在那里?总而言之,是的。直到固件把它清除掉。暂停一下,让自己稍微理解一下。以前的数据,在LBA级别上被覆盖的数据,比如通过重新格式化事件或在卡上的所有数据上写入零,在NAND闪存阵列中停留的时间不确定

确切地说,之前的数据会停留多长时间取决于各种因素,但尤其是固件的攻击性垃圾收集例行公事。更新存储在特定LBA中的数据的内部流程的一部分是将以前的数据标记为不再需要。在不活动期间,设备固件将执行垃圾收集,这将试图删除包含不需要数据的块,以便它们可以被重用。垃圾收集器不知道的是,它可能无意中破坏了对调查至关重要的证据。这种现象有时被称为固态硬盘“自腐蚀”。

NASA/JPL/康奈尔大学,Maas Digital LLC - http://photojournal.jpl.nasa.gov/catalog/PIA04413(图片链接),公共领域,https://commons.wikimedia.org/w/index.php?curid=565283
火星漫游者机遇号-闪忆健忘症,以及墨菲定律事件。图片来自NASA/JPL/康奈尔大学,Maas Digital LLC

闪存自腐蚀机制

固态存储器使用许多机制来清理自己的行为,以便它能有效地运行。这些机制有时被称为“局部腐蚀机制。“在法医领域,以我们无法控制的方式改变其他事物的事情是有问题的。一些人甚至声称,这样的事情意味着法医学的终结。我读了很多论文,也和很多人谈过与这些问题相关的工作,并认为自腐蚀是法医学中难以克服的障碍。这不是第一次,也不会是最后一次。值得庆幸的是,到目前为止,我们的领域还没有在这些不同的挑战面前崩溃。

另一个自我腐蚀的概念是修剪,这是操作系统对设备的一个提示,即不再需要特定的LBAs中包含的数据(即在删除文件之后,或者当SD卡像我们的故事中那样格式化时)。来自trim lsa的数据可能仍然可见在一些设备上(非确定性修剪),但在大多数设备上(包括我们的拍照者),它将立即消失。

因此,这个概念闪光记忆健忘症.数据可能仍然存在于NAND上,但设备似乎已经忘记了它。更具体地说,设备已经被操作系统发出的TRIM命令指示丢失数据。这实际上对设备非常有利,因为随着时间的推移,FTL会变得越来越复杂。使用TRIM命令后,可以从FTL中清除整个LBA范围的逻辑到物理映射,从而减轻固件记住所有内容实际存储位置的负担。对于不在FTL中的LBA的读请求可以通过简单地返回全0来填充。操作系统不会知道NAND中有“过时”的数据内容,你的取证工具也不会知道。

闪存数据提取选项

使用闪存设备,我们有两种方法来提取数据:

1)通过设备的正常设备接口(SATA、eMMC、SDIO等…),或者

2)通过直接读取一个或多个芯片的NAND闪存。

单个NAND闪存芯片使用行业标准接口,读取存储芯片的硬件适配器价格为几百美元。直接读取芯片似乎非常简单。

不幸的是,使用直接从NAND读取的原始数据非常困难(…可能几乎不可能),原因如下:

  • 大多数现代设备使用AES-128/256加密
  • 检查人员必须手动确定超光速逻辑到物理映射
  • 对于任何给定的LBA,磨损平衡可能会留下数百个先前的修订
  • 必须执行专有的错误纠正例程以使数据可读
  • 移除NAND芯片会对原设备造成物理上的破坏

这就是NAND闪存直接读取的“为什么不”。但有时进入这个极其困难的领域会产生惊人的结果。

数据恢复软件恢复
丢失或删除Windows上的数据

如果您丢失或删除了PC、硬盘驱动器或USB驱动器中的任何重要文件或文件夹,并需要立即恢复,请尝试我们推荐的数据恢复工具。

检索删除或丢失的文档,视频,电子邮件文件,照片等

从个人电脑,笔记本电脑,硬盘,ssd, USB驱动器等恢复数据。

恢复因删除、格式化或损坏而丢失的数据

恒星数据恢复软件

与闪光记忆失忆症作斗争:

格雷格代表摄影师与墨菲定律进行了斗争。通过直接读取NAND存储器,他成功地恢复了数据,战胜了闪存健忘症。直接读取NAND并不是他面临的唯一挑战。SD卡是一个整体风格的卡,而不是一个传统的SD卡易于访问的组件。

在下面的图片中,你可以看到对比。右侧为传统SD卡,PCB元件裸露在外。左边是一张整体风格的SD卡:

巨石vs.传统SD卡
巨石式SD卡(左)与传统SD卡(右)的对比

访问一块巨石卡上的NAND芯片不是一件容易的事。但NAND芯片就在那堆塑料下面的某个地方。问题是,你要怎么做?

蜘蛛网连接

直接访问NAND内存

如果您仔细观察整体的底部,您会注意到SD接触手指下方的微小测试点的模式。测试点用于在制造过程中将初始固件映像写入闪存。如果测试点可以用来写入原始闪存,那么它们也可以用来读取。问题是,无法确定哪个测试点对应哪个信号。破译引脚映射需要一些老式的逆向工程。然后使用逻辑分析仪在正常操作期间观察每个测试点的活动。如果测试点真正连接到NAND闪存总线,当控制器与闪存交互时,信号分配将慢慢显示自己。

有关其工作原理的更详细信息,请参阅Greg的文章视频。

有了引脚映射在手,这只是一个简单的问题,使必要的连接转储原始NAND闪存。

因此,通过大量的耐心和大量的测试,格雷格从SD卡上的NAND中获得了数据。然后,他从一个手工组装的FTL中重建了一个磁盘映像,仔细地恢复了经过修剪的逻辑到物理映射,并应用了正确的专有错误纠正例程,这个过程值得他自己在未来的博客中发表。

整体风格SD卡的x射线图像,显示连接到控制器模具的键合线。
整体风格SD卡的x射线图像,显示连接到控制器模具的键合线。

出人意料的大团圆结局:

格雷格击败了墨菲定律。他从SD卡上直接读取NAND芯片,恢复了300多张照片。

机上SD卡
SD卡连线数据提取通过直接读取闪存

这种数据恢复概念在数字取证中的应用是显而易见的。那张SD卡很可能属于一个儿童剥削案件的嫌疑人,或者任何其他类型的案件。卡片可能是故意重新格式化的。

一张看似“空”的SD卡实际上可能包含大量用户创建的数据。作为法医,我们需要意识到这一点,如果案件需要我们深入挖掘,我们需要找到获取潜在数据的方法。

只要记住:没有什么是不可能的,除非你让墨菲定律阻止你在事情出错时一次又一次地尝试。

因此,我们来到了Andrzejewski对墨菲定律的推论:当事情可能出错或确实出错时,坚持一次解决一个问题,直到看似不可能的事情成为可能。

欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复
欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复
文章:21
Baidu