Vai trò của FAM (Factory Access Mode) trong việc khôi phục dữ liệu trên SSD

Như đã được đề cập ở bài viết trước, FAM giữ vai trò rất quan trọng trong quá trình khôi phục dữ liệu trên SSD. Hãy cùng tìm hiểu kĩ hơn về chế độ này trong bài viết dưới đây.

Fam là gì?

FAM (Factory Access Mode) được sử dụng bởi mọi loại SSD, USB, EMMC, thẻ nhớ SD và các loại thiết bị lưu trữ dữ liệu khác có sử dụng các Controller (MicroController) để sắp xếp, mã hóa dữ liệu ghi vào chip nhớ NAND.

Tính năng của FAM

FAM có rất nhiều tính năng, trong đó nổi bật là:

• Đọc dữ liệu thô trên các block (Physical data blocks). Các block được đọc một cách hoàn chỉnh đầy đủ. Điều này giống như chipoff mà không cần phải tách chip ra khỏi mạch. Có một lưu ý nhỏ, dữ liệu thô này được mã hóa và không thể giải mã được, ngay cả khi MEK (Media Encryption Key) không được mã hóa.
• Đọc Logical Data Block. Tình năng này hỗ trợ giải mã Page và Block, chuyển đổi các Page đã được mã hóa và thực hiện chỉnh sửa ECC. Ngoài ra, các ổ SSD có mã hóa phần cứng sẽ giải mã dữ liệu đãđược mã hóa (nếu sử dụng MEK – khóa mã hóa phương tiện mặc định). Nói cách khác, đây là cách dễ nhất để đọc dữ liệu trên ổ SSD bao gồm các khối đã bị TRIM xóa một phần dữ liệu.
• Đối với các ổ SSD được mã hóa: tìm kiếm mô-đun chứa khóa mã hóa phương tiện (MEK). Trông một số trường hợp cài lại hệ điều hành (Windows 10) mà xảy ra tình trạng SSD bị mã hóa do Bitlocker, tính năng này của FAM có thể giúp mình lấy được mật khẩu để truy cập lại vào dữ liệu của khách. Lý do đơn giản: Windows 10 sẽ sử dụng tính năng mã hóa tích hợp của SSD thay vì dùng CPU để mã hóa.
• Truy cập SMART.
• Truy cập (tra cứu và đọc) SA, Firmware và Translation Tables

Các tính năng của FAM vô cùng hữu ích trông việc khôi phục dữ liệu SSD, cho phép tạo file ảnh toàn bộ SSD mà không cần kết nối với nguồn điện, từ đó ngăn chặn việc bị mất thêm dữ liệu trong ổ SSD.