Digital Forensics: SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

Digital Forensics: SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

SSD กับการตรวจพิสูจน์พยานหลักฐานดิจิทัล

ในปี 2560 ศูนย์ดิจิทัลฟอเรนสิกส์ ได้รับพยานหลักฐานประเภท SSD (Solid State Drive) เข้ามาให้ตรวจพิสูจน์มากขึ้นเนื่องมาจากความนิยมใช้ SSD ที่เพิ่มสูงขึ้นถึงแม้ว่าจะมีราคาสูงกว่าและมีขนาดความ
จุที่น้อยกว่าฮาร์ดดิสก์แบบจานหมุน HDD(Hard Disk Drive) ก็ตาม แต่ SSD มีข้อดีและมีความสามารถอื่น ๆ ที่เหนือกว่า HDDหลายประการ เช่น ใช้ไฟฟ้าน้อยกว่า มีขนาดเล็กกว่าและน้ำหนักเบากว่า มีความร้อนน้อยกว่า เสียงเบากว่า ไม่มีเสียงดังของจานหมุน และข้อดีที่สำคัญคือ ทำงานเร็วกว่า HDD โดยสามารถเข้าถึงข้อมูลใน ตำแหน่งที่ต้องการอ่านหรือเขียนได้ทันที ในขณะที่ HDD ต้องรอให้หัวอ่านเลื่อนไปหาตำแหน่งข้อมูลที่ต้องการก่อน

เนื่องด้วย SSD ใช้หน่วยเก็บข้อมูลประเภท NAND Flash ซึ่งมีข้อจำกัดของจำนวนครั้งที่สามารถเขียนข้อมูลลงในหน่วยความจำได้ หากมีการเขียนข้อมูลลงในหน่วยเก็บข้อมูลพื้นที่เดิมบ่อย ๆ จะทำให้พื้นที่นั้นใช้งานไม่ได้อีกต่อไป ดังนั้น เพื่อแก้ปัญหาเรื่องอายุการใช้งานของ SSD จึงได้มีการใช้ 2 เทคนิค ดังนี้

1. Ware Leveling: เมื่อมีการเปลี่ยนแปลงเนื้อหาของไฟล์ใด ๆ เนื้อหาของไฟล์นั้นจะถูกย้ายไปแล้วบันทึกเป็นไฟล์ใหม่ลงในพื้นที่อื่นใน SSD ส่วนพื้นที่เดิมที่เก็บเนื้อหาของไฟล์เก่าจะไปเข้าคิวรอการเคลียร์ข้อมูล

An SSD experiences write amplification as a result of garbage collection and wear leveling, thereby increasing writes on the drive and reducing its life.^[1]

2. Drive Trimming: หรือTrimming เป็นการเคลียร์ข้อมูลที่อยู่ในตำแหน่งเก่า อาจเป็นข้อมูลที่เกิดจากการเปลี่ยนแปลงเนื้อหาไฟล์ การลบไฟล์หรือการฟอร์แมต เพื่อให้พื้นที่นั้นพร้อมรับการเขียนข้อมูลใหม่ ในระบบปฏิบัติการWindows 7/8/10 กระบวนการ Trimmingได้ตั้งค่าเริ่มต้น (Default) ให้ทำงานอัตโนมัติตามการตั้งค่าของระบบปฏิบัติการ(Scheduler) โดยทั่วไปมักทำเป็นรายสัปดาห์
แม้ว่าเทคนิค Ware Leveling และTrimming จะช่วยเรื่องอายุการใช้งานของ SSD และทำให้ SSD ทำงานได้เร็วขึ้น แต่ส่งผลกระทบต่อการตรวจพิสูจน์ด้วยอุปสรรคที่เกิด ได้แก่

1. การเก็บรวบรวมพยานหลักฐานไม่สามารถใช้วิธีดั้งเดิมอีกต่อไปวิธีดั้งเดิมในข้างต้นหมายถึง กรณีเมื่อผู้เก็บรวบรวมพยานหลักฐาน ณ ที่เกิดเหตุพบเครื่องคอมพิวเตอร์ที่เปิดทิ้งไว้ หลังจากทำสำเนา Volatile Data แล้ว (โดยทั่วไป Volatile Data หมายถึงข้อมูลที่อยู่ใน RAM ซึ่งจะหายไปเมื่อปิดคอมพิวเตอร์) ก็จะดึงปลั๊กที่เชื่อมต่อกับเครื่องคอมพิวเตอร์ออกเพื่อรักษาสภาพของข้อมูล (หากปิดเครื่องด้วยวิธีปกติ จะทำให้มีการเขียนไฟล์และข้อมูลอื่น ๆ เพิ่มเติมก่อนเครื่องถูกปิดลง)จากนั้นจึงนำเครื่องคอมพิวเตอร์เพื่อกลับมาวิเคราะห์ต่อไปหากคอมพิวเตอร์ที่กำลังทำงานอยู่ใช้ SSD การดึงปลั๊กออกอย่างกะทันหันอาจทำให้ SSD เสียหาย (Brick) อย่างไรก็ตามเมื่อมีการจ่ายไฟเข้าไปอีกครั้ง SSD ส่วนมากจะสามารถซ่อมแซมข้อมูลในตัวเองได้ซึ่งในกระบวนการซ่อมแซมข้อมูลนั้นรวมไปถึงการทำ Ware Leveling และTrimming ซึ่งจะเป็นปัญหา เนื่องจากสภาพหลักฐาน (ข้อมูลใน SSD) จะถูกเปลี่ยนแปลงไปแล้วเมื่อเทียบกับข้อมูลในสถานที่เกิด เหตุดังนั้น แนวทางปฏิบัติที่นิยมกันสำหรับ SSD จึงเป็นการทำสำเนาข้อมูลในเครื่องคอมพิวเตอร์ในที่เกิดเหตุ ขณะที่เครื่องกำลังเปิดอยู่

2. การใช้เครื่องมือป้องกันการเขียน
(Write Blocker) ไม่สามารถป้องกันการเปลี่ยนแปลงข้อมูลได้ โดยปกติ Write Blocker จะใช้เชื่อมต่อกับสื่อบันทึกข้อมูล เพื่อป้องกันการเขียนข้อมูลลงไปในสื่อบันทึกข้อมูลนั้น เช่น การเชื่อมต่อกับพยานหลักฐานต้นฉบับ ในขั้นตอนการทำเนาข้อมูล เป็นต้น ในกรณีของ SSD เมื่อเชื่อมต่อกับ Write Blocker จะมีการจ่ายไฟเข้าไป Controller ของ SSD และ Controller อาจเริ่มกระบวนการ Ware Leveling และTrimming โดยอัตโนมัติ ทำให้ข้อมูลในพยานหลักฐานถูกเปลี่ยนแปลง ดังนั้น หากมีการนำ SSD เดิมมาทำสำเนาข้อมูลซ้ำอีกครั้ง อาจจะได้ค่าแฮชไม่เหมือนเดิม
 (ค่าแฮชเป็นค่าที่ได้มาจากการใช้อัลกอริทึมคำนวณเนื้อหาของข้อมูล โดยหากข้อมูล 2 ชุดมีค่าแฮชตรงกัน สามารถเชื่อได้ว่าข้อมูลทั้ง 2 ชุดมีเนื้อหาเหมือนกันทุกประการ รูปแบบค่าแฮชที่นิยม เช่น MD5,SHA1 และ SHA256)

3. อาจไม่สามารถกู้คืนข้อมูลที่ถูกลบไปแล้วได้ในกรณีของ HDD ข้อมูลที่ลบหรือฟอร์แมตไปแล้วจะยังสามารถกู้คืนกลับมาได้ ตราบเท่าที่พื้นเก็บข้อมูลตำแหน่งนั้นยังไม่มีการเขียนทับ เนื่องจากระบบไฟล์ (เช่น NTFS หรือ FAT32) และระบบปฏิบัติการเพียงแค่บันทึกข้อมูลไว้ว่าพื้นที่ตำแหน่งนี้ว่าง สามารถเขียนทับได้ ทำให้ผู้ใช้งานมองไม่เห็นข้อมูลนั้นอีก แต่ข้อมูลยังมีอยู่ที่ตำแหน่งเดิม ในกรณีของ SSD หากเกิดกระบวนการTrimming แล้ว ข้อมูลเก่าจะถูกลบออกไปโดยไม่สามารถกู้คืนได้อีก ซึ่งนับเป็นอุปสรรคสำคัญต่อการตรวจพิสูจน

(ThaiCERT Annual Report 2017-2018  Download)

Garbage collection

Pages are written into blocks until they become full. Then, the pages with current data are moved to a new block and the old block is erased.^[2]

Garbage Collection คือ เทคโนโลยีที่ SSD รุ่นใหม่ใช้เพื่อปรับปรุงประสิทธิภาพและความทนทานในการใช้งาน

Garbage Collection เป็นฟังก์ชั่นในระบบควบคุม solid-state drivesโดยทั่วไปอุปกรณ์แฟลข NAND จะไม่เขียนทับข้อมูลที่มีอยู่ ข้อมูลจะผ่านรอบการเขียน/ลบ หากต้องการเขียนบล็อคข้อมูลที่ใช้อยู่แล้ว ชุดควบคุม solid-state drives จะคัดลอกไฟล์ที่ใช้งานทั้งหมดก่อนและเขียนข้อมูลชุดนี้ไปยังหน้าเปล่าของบล็อคข้อมูลอื่น ๆ และลบข้อมูลในเซลล์ทั้งหมดในบล็อคปัจจุบัน (ทั้งที่ใช้และไม่ได้ใช้งาน) จากนั้นจะเริ่มการเขียนข้อมูลใหม่ไปยังบล็อคที่เพิ่งถูกลบข้อมูลทิ้ง กระบวนการนี้เรียกว่า Garbage Collection (การรวบรวมข้อมูลขยะ) OS รุ่นใหม่ ๆ ยังรองรับคำสั่ง TRIM โดย OS จะแจ้งให้ SSD ทราบว่ามีการลบไฟล์บางตัวเพื่อให้ SSD สามารถจัดการกระบวนการ Garbage Collection ได้อย่างมีประสิทธิภาพและเตรียมพื้นที่จัดเก็บข้อมูลได้ก่อนล่วงหน้า ที่มา: kingston

ที่มา:
thaicert
http://www.thessdreview.com/daily-news/latest-buzz/garbage-collection-and-trim-in-ssds-explained-an-ssd-primer/
https://en.wikipedia.org/wiki/Garbage_collection_(SSD)#Garbage_collection

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #ศูนย์ดิจิทัลฟอเรนสิกส์