这是最后一节课了,主要就是讲了两块内容,一个是固态硬盘,一个是移动设备的取证调查。
首先来说固态硬盘部分,那么先讲一下在之前的机械硬盘,构造很简单,用于储存数据的碟片,然后读取和写入数据的磁头,然后就是其他的外壳,controller之类的。这里突然想到了第一周选topic,有个一个Physical Block Addressing 和 Logical Block Addressing的概念,其中对机械硬盘讲的细节非常多。下面这个链接我随便找的,当时我曾经看到过更加详细的。那么其实以后如果有感兴趣的话题应该及时写下来。
https://blog.csdn.net/jadeshu/article/details/89072512
机械硬盘盘面可以理解为一个一个的小储存设备,通过磁头改变电子的方向来代表1或者0,所以不管硬盘是否通电都不会影响这个方向,所以一个硬盘理论上放几十年再拿出来还是可以读取数据,数据不会发生改变,但是固态就不一定了。
机械硬盘相对来说比较脆弱,磕磕碰碰摔一下都有可能损坏硬盘的磁头,再就是硬盘一般是密封的,如果强制打开后灰尘可能破坏盘面和磁头。
硬盘一般参数有一个转速,7200RPM或者5600RPM,但是实际上这个速度的差距对于我们读取数据差别并没有特别大,反而造成速度差异的是读头的读写速度。此外,磁头改变电子的方向并不是完美的,0和1是90度,但是写0后,其实电子可能只改变50度 60度,但是继续写0可以更好一点,一个报告研究的结果表示写32次才可以保证接近完美的写0.
这里注意,磁头并不是直接接触盘面,而是一个非常近的距离感应电磁。一旦直接接触,盘面可能永久损伤。
固态硬盘部分就和机械硬盘完全不一样,固态硬盘没有盘面什么的,而是各种芯片在里面。此外,固态不需要连接电脑,只要通电它就会工作,其中GC和WR是自动自发的。
Wear Levelling or Garbage Collection 磨损平衡和垃圾收集。这也是我STEM选的TOPIC。虽然WL和GC不能被电脑系统直接控制,但是现在可以控制TRIM的开关,而TRIM则直接控制WL和GC。下面的youtube视频讲解的非常详细。
固态硬盘的优点有很多,比如轻便,小,速度快,产热小,不容易坏,而组成部分各种元器件,下面这个链接讲的不错。NAND,DRAM, EEPRAM之类的。用于早期和现在的固态。
https://www.eet-china.com/mp/a110634.html
固态硬盘的机制就是当修改时,不能在原有地址写入,只能写到空白地址。每一个芯片由若干block组成,每一个block由若干page组成。然后为了避免每次数据都经常在某几个地方,而后面的不用,最后经常使用的地方就会寿命殆尽而报废。然后就需要GC和WL技术。话说固态的芯片有固定的读写数量,过去可能1000次,现在可能很多万次。
话说开启和关闭TRIM有相关的命令,而下面的命令可以用来查看本电脑硬盘是否打开TRIM的状态。
fsutil behavior query disabledeletenotify
下图是简单讲解了WL和GC的意思,随便网上可以查到个更多更好的解释。
下面这几个问题主要是对forensics的挑战,有空的话可以研究一下。这里重点讲了一个,在固态硬盘里,可能某一个数据在第一个芯片,而其余部分数据在另外一个芯片,这种情况和把数据保存在同一个芯片相邻的两个page没有区别。所以机械硬盘PBA和LBA基本一对一,但是固态不一定,对不上号的。也因此,我们想把固态拆开直接读取芯片里的数据也是不现实的。这一块可以研究的空间也很大。
这里要注意下,drive sizes,slack space 和unallocated。比如一个文件占用了一个最小空间的一部分,或者若干空间,但是仍然留了一部分空间,那么剩余的空间就是slack space。这一部分系统是不能使用的,但是可以手动使用藏一些文件。所以有时候看到文件大小和文件占用的大小是不一样的。这个最小的储存单元可以被修改,格式化的时候,设置的越大速度越快,但是呢对于小文件来说浪费的空间就越多。反之,设置的越小对于小文件可以,对于大文件就要拆开若干,速度慢一点。
第二部分就是移动设备的挑战,有一大堆,比如各种锁,各种格式,电池耗尽,文件加密故意损坏等等,总之由于没有固定标准,所以导致各个厂商的标准都不一样,因此也非常的复杂。
目前有设备可以逻辑上一个一个bit的读取,然后有一定概率恢复,但是该设备比较贵,准确度也不一定。
这里讲了一下,必须不能让手机连接到网上或者WIFI或者蓝牙之类的,因为这些可能改变手机的数据。因此最好是放在法拉第盒子里,再或者打开飞行模式。假如是充电模式,那么也要给其充电。假如屏幕没有锁定,那么也要一直按着保持屏幕不锁定。
手机的原始数据也可能被加密或者转储,有一些工具可能有能力解码这些数据,但是只是可能。而免费工具根据研究来看,大部分都是垃圾。
然后又是老生常谈的法则,
Testability –Has the scientific theory or technique been empirically tested? According to K. Popper (1989) in The Growth of Scientific Knowledge, "the criterion on the scientific status of a theory is its falsifiability, refutability, and testability."
Acceptance –Has the scientific theory or technique been subjected to peer review and publication? This ensures that flaws in the methodology would have been detected and that the technique is finding its way into use via the literature.
Error Rate –What is the known or potential error rate? Scientific measures generally have associated error rates, which can be estimated with a fair amount of precision. Known threats exist against the validity and reliability in any test (experimental and quasi-experimental) of a theory.
Credibility –What is the expert's qualifications and stature in the scientific community? Does the technique rely upon the special skills and equipment of one expert, or can it be replicated by other experts elsewhere?
Clarity –Can the technique and its results be explained with sufficient clarity and simplicity so that the court and the jury can understand its plain meaning? This criterion is implicitly assumed to be incorporated in Daubert.
而ACPO则是有类似的法则
假如手机是在某个液体里,那么得把储存SIM卡电池之类的都取出来,然后恢复手机到原来的液体里。。。。。这个就很奇怪
不要进入手机的app防止数据覆盖。
一些共有设备,比如公司的手机之类的,移交之前必须格式化,把敏感数据除掉。
本周没有实验部分,下周就是考试,下下周交最后的report,这门课就此结束了。感觉意犹未尽。
又是一篇文章没有读,导致好几分的题目没看懂,慌了,不然很容易得分的。
