Phục hồi dữ liệu trên SSD hỗ trợ TRIM: Có thể và không thể
Khi thu thập, phục hồi dữ liệu trên các SSD hiện đại hiện nay, đôi khi chỉ cần hỏi: SSD có hoạt động tốt hay không? Dữ liệu đã bị tác động (xóa)? Hay là dữ liệu đang không truy cập được? Nếu dữ liệu đã bị xóa, hầu hết các trường hợp thông thường sẽ là từ bỏ việc phục hồi dữ liệu bị xóa đó do quan niệm rằng: TRIM trên SSD sẽ xóa bỏ hoàn toàn dữ liệu đã xóa sau đó. Thực tế thì sao?
Một quan niệm sai lầm phổ biến là các khối (blocks) bị loại bỏ của ổ SSD sẽ bị xóa ngay lập tức. Điều này không thường xảy ra; Thay vào đó, cách lệnh TRIM hoạt động là coi nội dung của các khối bị loại bỏ là không xác định (trạng thái “không quan tâm – don’t care”) cho đến thời điểm các khối này bị xóa về mặt vật lý bởi một quy trình nền riêng biệt, bộ thu gom rác (The Garbage Collector). Nói cách khác, lệnh TRIM không tự xóa nội dung của các khối bị loại bỏ. Thay vào đó, nó thêm chúng vào một hàng đợi các khối đang chờ được dọn bởi bộ thu gom rác. Cùng thảo luận vấn đề phục hồi dữ liệu SSD với TRIM trong bài viết này.
Ngoại lệ
Quy tắc “không thể khôi phục” không áp dụng nếu lệnh TRIM chưa được ban hành hoặc nếu TRIM không được hỗ trợ bởi bất kỳ mối liên kết nào của chuỗi từ 1 đến 5 ở trên. Trong trường hợp này, thông tin từ ổ SSD có thể được khôi phục theo cách tương tự như từ ổ cứng truyền thống
Giao thức TRIM sẽ bị vô hiệu hóa hoặc không được hỗ trợ hoàn toàn nếu đáp ứng ít nhất một trong các điều kiện sau:
- Ổ cứng SSD cũ
Ổ cứng SSD cũ hơn không hỗ trợ lệnh TRIM. Ví dụ, Intel bắt đầu sản xuất ổ SSD hỗ trợ TRIM với phép in thạch bản ổ 34nm (G2); SSD 50nm của họ không hỗ trợ TRIM.
- Các phiên bản cũ của Windows
Trong Windows Vista và các phiên bản trước đó, giao thức TRIM không được hỗ trợ và lệnh TRIM không được phát hành.
Ngoại lệ có thể xảy ra: Hiệu suất giống như TRIM có thể được kích hoạt thông qua một số giải pháp của bên thứ ba (ví dụ: Intel SSD Optimizer)
- Các phiên bản cũ của MacOS X
Mac OS X bắt đầu hỗ trợ lệnh TRIM cho ổ SSD do Apple cung cấp kể từ phiên bản 10.6.8. Các phiên bản cũ hơn của Mac OS X không hỗ trợ TRIM. Ngoài ra, các ổ SSD do người dùng cài đặt không phải do chính Apple cung cấp sẽ không được hỗ trợ TRIM.
- (Windows) Các hệ thống tệp khác ngoài NTFS
Tại thời điểm này, chỉ các phân vùng có định dạng NTFS mới nhận được hỗ trợ TRIM đầy đủ trong Windows. Các tập được định dạng bằng FAT, FAT32 hoặc các hệ thống tệp khác sẽ bị loại trừ.
- Ổ đĩa ngoài, Box SSD gắn qua cổng USB và bộ nhớ SSD gắn trong NAS
Lệnh TRIM được hỗ trợ đầy đủ qua giao diện SATA, bao gồm cả phần mở rộng eSATA, cũng như SCSI thông qua lệnh UNMAP. Nếu ổ SSD được sử dụng trong Box USB hoặc được cài đặt trong một số loại lưu trữ NAS nhất định, lệnh TRIM sẽ không được truyền thông qua giao diện không được hỗ trợ.
- Ổ cứng SSD PCI-Express
Điều thú vị là lệnh TRIM không được hỗ trợ bởi bất kỳ phiên bản Windows nào dành cho ổ SSD hiệu suất cao chiếm khe PCI Express.
Ngoại lệ có thể xảy ra: Hiệu suất giống như TRIM có thể được kích hoạt thông qua một số giải pháp của bên thứ ba (ví dụ: Intel SSD Optimizer)
- RAID
Kể từ khi viết bài này, lệnh TRIM thường không được hỗ trợ trên các cấu hình RAID (với một số ngoại lệ rất hiếm). Ổ cứng SSD hoạt động như một phần của mảng RAID có thể được phân tích.
- Lỗi logic
Đáng ngạc nhiên là các ổ SSD có khu vực hệ thống bị hỏng (bảng phân vùng bị hỏng, hệ thống tệp bị lệch, v.v.) dễ khôi phục hơn các ổ khỏe mạnh. Lệnh TRIM không được đưa ra trên các khu vực bị hỏng, bởi vì các tệp không được xóa đúng cách; chúng chỉ đơn giản là trở nên vô hình hoặc không thể truy cập được đối với hệ điều hành. Nhiều công cụ khôi phục dữ liệu có sẵn trên thị trường có thể trích xuất thông tin từ các ổ SSD bị hỏng một cách đáng tin cậy.
- Ổ đĩa được mã hóa
Hơi phản trực giác, thông tin bị xóa khỏi một số loại ổ đĩa được mã hóa nhất định (một số cấu hình của BitLocker, TrueCrypt, PGP và các vùng chứa khác.) Có thể dễ dàng khôi phục hơn vì nó có thể không bị ảnh hưởng bởi lệnh TRIM. Các tệp bị xóa khỏi các ổ mã hóa được lưu trữ trên ổ SSD có thể được khôi phục (trừ khi chúng bị người dùng xóa “một cách triệt để”) nếu điều tra viên biết mật khẩu ban đầu hoặc các khóa giải mã nhị phân cho ổ đó.
Lời khuyên cho công tác thu thập dữ liệu phục vụ cho công việc điều tra:
Cách đúng đắn để thu thập dữ liệu trên một máy tính có chứa nội dung bị mã hóa có thể được mô tả bằng câu sau: “Nếu nó đang chạy, đừng tắt nó. Nếu nó đang tắt, đừng bật nó lên.” Thật vậy, các khóa giải mã ban đầu được lưu trong bộ nhớ của máy tính và có thể được trích xuất từ trực tiếp từ RAM đang hoạt động bằng cách thực hiện một cuộc tấn công FireWire. Các khóa này cũng có thể được chứa trong Page files và Hibernation files. Các công cụ như Elcomsoft Forensic Disk Decryptor có thể trích xuất các tệp giải mã từ kết xuất bộ nhớ và các Page files/Hibernation files, giải mã nội dung của các ổ đĩa được mã hóa.
Các khách hàng cần tư vấn về khôi phục dữ liệu vui lòng liên hệ trực tiếp: 0928.765.688
Tham khảo thêm: Khôi phục dữ liệu trên Iphone: những điều KHÔNG THỂ và CÓ THỂ