Techno Mode – najszybsza droga dostępu do materiału dowodowego z uszkodzonych SSD

forensictools.pl 6 lat temu

Pojawiające się ostatnio statystyki pokazują, iż dyski półprzewodnikowe mają znaczny udział w rynku pamięci masowych. Zakłada się, iż popularność dysków SSD wzrośnie, co spowoduje, iż pojawi się więcej mało znanych producentów – w rezultacie na rynek z łatwością trafią znaczne ilości produktów o niskiej jakości.

Specjaliści muszą być na to przygotowani i zawsze szukać skutecznych sposobów rozwiązywania problemów, pojawiających się w ich codziennej pracy.

Prawie wszystkie współczesne dyski SSD wyposażone są w sprzętowe szyfrowanie danych. Dlatego metoda Chip- -off staje się bezużyteczna, jeżeli chodzi o dostęp do dowodów cyfrowych na uszkodzonym urządzeniu. W takim przypadku tryb Techno jest jedynym możliwym sposobem przywrócenia logicznego dostępu do danych na SSD. W artykule wyjaśnimy przyczynę awarii dysków SSD bez wyczerpania liczby dostępnych cykli przepisywania i przedstawimy metodę dostępu do danych na urządzeniach, które przestały działać. Aby lepiej zrozumieć, cały proces, zacznijmy od przeglądu wewnętrznej struktury SSD.

Budowa SSD

Obecnie SSD są produkowane w oparciu o mikroczipy NAND Flash. Podobnie jak w przypadku wszelkich zaawansowanych urządzeń elektronicznych, chipy te podlegają „starzeniu” technologicznemu. Wynika to przede wszystkim z komórek pamięci, podstawy chipów NAND Flash, zużywających się i nie mogących utrzymać ładunku elektrycznego. Warstwa specjalnej izolacji oddziela komórki chipa. Przy każdym procesie zapisu komórka pamięci pobiera prąd 12V, który przebija izolację i w niej pozostaje. Im cieńsza jest ta warstwa izolacji – tym mniej cykli przepisywania dany chip może wytrzymać. Nowoczesne chipy są produkowane przy minimalnych procesach techno – 19nm, 15nm, 14nm. W związku z tym ich cykl życia nie będzie długi.

Pamięć

Ponadto większość niedrogich dysków SSD jest produkowanych przy użyciu taniego typu pamięci TLC (Triple Level Cell). Ten typ pamięci przechowuje 3 bity informacji w każdej komórce, zwiększając w ten sposób ilość przestrzeni dyskowej. Jednak oparte na TLC urządzenia NAND Flash są bardzo niewiarygodne i znacznie bardziej podatne na awarie. W każdym razie od 30 do 90 cykli przepisywania wystarczy, aby dotrzeć do krytycznej liczby uszkodzonych komórek. Dla porównania SLC to od 30 000 do 100 000 cykli, a MLC od 1 000 do 5 000 cykli. Mimo tego nowo zakupione dyski nie powinny działać nieprawidłowo. Wystarczy pomyśleć o czasie potrzebnym do całkowitego przepisania całej przestrzeni dysku 128-512 GB. SSD mają specjalną przestrzeń zwaną Service Area (SA).

Obszar ten jest poświęcony komponentom usług, modułom, tabelom specjalnym, częściom mikrokodu, informacjom o oprogramowaniu itd. Zmiany dokonane w rejestrze obszaru danych użytkownika (DA) w tak zwanych tabelach tłumaczeń, znajdują się wewnątrz SA. SA to stała (i bardzo mała) część całej dostępnej przestrzeni dyskowej, dlatego zapisywanie i przepisywanie informacji o usługach może gwałtownie wyczerpać liczbę możliwych do wykonania cykli. choćby 20 lub 30 cykli może wystarczyć do „zapchania” SA uszkodzonymi komórkami i całkowitego zerwania translatora. zwykle w takich przypadkach dyski SSD wykazują następujące symptomy: do 2 Mb dostępnej wolnej przestrzeni, stały stan BSY (busy-zajęty), błąd ABR przy adresowaniu DA lub całkowita niemożność zarejestrowania dysku w menedżerze urządzeń. Jest jednak sposób pomocny w uzyskaniu dostępu do danych choćby w pozornie uszkodzonym dysku (powyższe oznaczenia to status rejestrów i błędów w programie PC-3000).

Tryb Techno

Wszystkie dyski SSD są dostarczane z wbudowanym trybem Techno. Służy on do debugowania urządzeń. Producenci używają go do badania niesprawnych napędów w celu zidentyfikowania uszkodzonej części mikrokodu i rozwiązania problemu w przyszłych wersjach oprogramowania. Inżynierowie ACE Lab poszli o krok dalej. Lata badań pozwoliły stworzyć metodę użycia trybu Techno w celu rzeczywistego przywrócenia dostępu do danych na uszkodzonych dyskach SSD. Osiąga się to poprzez użycie określonych narzędzi, które wymuszają na uszkodzonych urządzeniach przejście do trybu Techno. Ponieważ najczęstszą przyczyną awarii SSD jest zepsuty translator, użycie trybu Techno daje możliwość zbudowania nowego. Nowy translator jest ładowany do pamięci RAM urządzenia, zadanie jest tworzone w specjalnym oprogramowaniu, a użytkownik uzyskuje pełny dostęp do struktury plików na dysku SSD. Narzędzia SSD PC-3000 mogą pomóc w:

  • Uzyskaniu dostępu do obszaru usług.
  • Stworzeniu translatora pozwalającego na dostęp do dowodów cyfrowych.
  • Zebranie informacji o liczbie układów pamięci i części logicznych.
  • Zapisie obrazów chipów bez lutowania NAND.
  • Tymczasowym wyłączeniu polecenia TRIM.
  • Wykryciu hasła, a choćby jego odczycie lub usunięciu.
  • Przeglądaniu uszkodzeń i wad układów pamięci dzięki dedykowanego Menadżera.
  • Użyciu poleceń niskopoziomowego formatu (Low-Level Format), czy przywróceniu oryginalnych ustawień Repair Functions.

Aktualnie PC-3000 SSD obsługuje szeroką gamę dysków Solid State wielu producentów: ADATA, AMD, Corsair, Crucial, OCZ, Intel, Kingston, Micron, Patriot, Plextor, Lite-On, PNY, Samsung, San- Disk, Seagate, Silicon Power, Smartbuy, GoodRAM, G .Skill, R unCore i i nnych. Wiele z produkowanych SSD posiada standardowy tryb Techno, dlatego opisana metoda może być stosowana do różnych urządzeń. Zdarza się jednak, iż SSD mają własne wersje trybu Techno. choćby dwa podobne modele, na przykład Plextor, Sandisk, Micron lub Crucial mogą mieć różne pary „Firmware-Controller”. ACE Lab prowadzi ciągłe badania w celu ulepszenia metody, systemu i narzędzi, aby można było zastosować je dla każdej znanej marki i producenta.

Ponadto, tryb Techno można wykorzystać do odzyskania plików z uszkodzonego SSD, które mogłyby zostać usunięte w przeciągu kilku godzin. Inną istotną zaletą korzystania z trybu Techno jest możliwość zarówno obejścia, jak i wykrycia haseł, które wcześniej zostały ustawione na SSD. Ta opcja jest bardzo korzystna, w sytuacji gdy podejrzany używa tego samego hasła na komputerze, telefonie komórkowym, koncie e-mail lub innych dyskach.

Idź do oryginalnego materiału