DIGITAL FORENSICS: data Recovery on SSD
วันนี้จะทดสอบการลบและกู้ข้อมูลบน (SSD) solid state device
จุดประสงค์
1.เพื่อดูว่าเมื่อทำการลบข้อมูล สามารถกู้ข้อมูลได้หรีอไม่
2. ตรวจสอบตำแหน่งข้อมูลที่อยู่บนดิสมีการเปลี่ยนแปลงหรือไม่ (Physical Sector)
2. ตรวจสอบตำแหน่งข้อมูลที่อยู่บนดิสมีการเปลี่ยนแปลงหรือไม่ (Physical Sector)
เครื่องมือที่ใช้ทดสอบ I
- Encase Imager
- AccessData FTK Imager
- Hxd HEX Editor
- DigitalVolcano Hash Tools
- SSD 240 GB WD Green Sata M.2 2280 NTFS
- SSD TEST2.jpg
- Windows 8
1. ทำการใช้ Encase Imager และ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD TEST2.jpg ใน SSD
 |
| Encase Imager |
 |
| AccessData FTK Imager |
2. ตำแหน่ง Physical Sector ของ TEST2.jpg คือ 56898064
3. ทำการลบไฟล์ Test2ssd พบว่าไฟล์ อยู่ใน recycle bin
4. ทำการดูตำแหน่ง Physical Sector ของ TEST2.jpg คือ 56898064 อีกครั้ง พบว่ามีไฟล์อยู่ใน recycle bin
 |
| Physical Sector 56898064 |
5. ทำการ Empty recycle bin
ุ6. ทำการดูตำแหน่ง Physical Sector ของ TEST2.jpg คือ 56898064 อีกครั้ง พบว่าไม่มีไฟล์อยู่ใน recycle bin
 |
| Physical Sector 56898064 |
7. ใช้โปรแกรม Hxd HEX Editor เปิด SSD ค้นหาตำแหน่ง Physical Sector ของ TEST2.jpg คือ 56898064 ทำการกู้ไฟล์รูปภาพโดยใช้เทคนิค Carving ของไฟล์ jpg magic number (https://en.wikipedia.org/wiki/List_of_file_signatures)
FF D8 56898064 ตำแหน่งเริ่มต้น
 |
| FF D8 |
FF D9 56898436 ตำแหน่งสิ้นสุด
 |
| FF D9 |
8. ทำการ copy ค่า hex ตั้งแต่ 56898064 - 56898436 ไปสร้างไฟล์ใหม่ และบันทึกไฟล์เป็น TEST2SSD.jpg
 |
| Timestamp |
9. ทำการใช้ DigitalVolcano Hash Tools เปรียบเทียบค่า Hash
 |
| Hash |
.............................................................................................................
เครื่องมือที่ใช้ทดสอบ II
- Encase Imager
- AccessData FTK Imager
- Hxd HEX Editor
- DugitalVolcano Hash Tools
- SSD SATA2.5 240 GB WDs240g2g0A Green ( ไฟล์ NTFS)
 |
| Test2ssd.JPG |
2 กดลบ Shift Delete ไฟล์ SSD Test2.jpg ไม่พบว่าไฟล์ อยู่ใน recycle bin
.......................................................................................................................
เครื่องมือที่ใช้ทดสอบ III
- Encase Imager
- AccessData FTK Imager
- Hxd HEX Editor
- DugitalVolcano Hash Tools
- SSD M.2 2280 NAND 500 GB WD BLUE ( ไฟล์ NTFS)
- SSD TEST2.jpg
- Windows 8
1. ทำการใช้ Encase Imager และ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD Test2.jpg ใน SSD ตำแหน่ง sector 6510480
 |
| sector 6510480 |
 |
| SSD Test2.jpg |
2. Shift Delete SSD Test2.jpg ไม่พบว่าไฟล์ใน recycle bin
 |
| Shift Delete |
4. ใช้ Hxd HEX Editor ไปที่ sector 6510480 ไม่เจอไฟล์ SSD Test2.jpg
..............................................................................................
เครื่องมือที่ใช้ทดสอบ IV
- AccessData FTK Imager
- Hxd HEX Editor
- 512 GB SSD ADATA XPG SX7000 PCIe/NVMe M.2 2280 (ASX7000NP-512GT-C) ( ไฟล์ NTFS)
- SSD TEST2.jpg
- Windows 8
 |
| Physical sector 6507720 |
 |
| SSD TEST2.jpg |
 |
| Shift Delete |
 | ||
Shift Delete
|
4. ใช้ Hxd HEX Editor ไปที่ sector 6507720 ไม่เจอไฟล์ SSD Test2.jpg
 |
| Not Found SSD Test2.jpg |
6. ทำการใช้ AccessData FTK Imager ตรวจสอบตำแหน่งของรูป SSD Test2.jpg ใน SSD ตำแหน่ง sector 6507344
 |
| Physical sector 6507344 |
|
| Shift Delete |
9. ใช้ Hxd HEX Editor ไปที่ sector 6507344 ไม่เจอไฟล์ SSD Test2.jpg
 |
| ตำแหน่ง Physical sector 6507344 ไม่พบข้อมูล |
สรุป
- ข้อมูลใน Harddisk magnetic ทีเป็นแบบ NTFS เมื่อมีการลบข้อมูลไปสามารถกู้ขึ้นมาได้ หากยังไม่มีข้อมูลอื่นมาทับในตำแหน่ง Physical Sector เดิม
- การใช้เทคนิค Carving สามารถช่วยในการกู้ข้อมูล Harddisk magnetic ได้ หากข้อมูลไม่ถูกทับ
- SSD แบบ NAND เมื่อลบข้อมูลแล้วตำแหน่ง Physical Sector เปลี่ยนไป พื่นที่ blog เดิมจะถูกลบ รอข้อมูลใหม่เข้ามา เพราะการทำงาน Ware Leveling: เมื่อมีการเปลี่ยนแปลงเนื้อหาของไฟล์ใด ๆ
เนื้อหาของไฟล์นั้นจะถูกย้ายไปแล้วบันทึกเป็นไฟล์ใหม่ลงใน blog ใหม่ใน SSD
ส่วนพื้นที่เดิมที่เก็บเนื้อหาของไฟล์เก่าจะถูกเครียข้อมูล เพื่อเตรียมพื้นที่สำหรับใช้งาน
- SSD แบบ PCIe/NVMe บางชนิด เมื่อลบข้อมูลแล้วตำแหน่ง Physical Sector เปลี่ยนไป เนื่องจากการทำงานของ TRIM ในระบบ Microsoft windows
TRIM
TRIM เป็นคำสั่งสำหรับอินเทอร์เฟซ ATA (Advanced Technology Attachment) เมื่อระบบปฏิบัติการต้องการแจ้งให้ SSD ทราบว่าจะทำการลบไฟล์ เพราะว่าหน่วยความจำแฟลชที่นำมาใช้ทำโซลิตสเตตไดรฟ์ส่วนใหญ่นั้นเป็นชนิด NAND ซึ่งไม่สามารถเขียนข้อมูลทับได้ แต่ต้องลบข้อมูลเก่าก่อนแล้วจึงเขียนข้อมูลใหม่ลงไป ดังนั้นการลบข้อมูลออกไปก่อนที่จะมีการเขียนข้อมูลทำให้สามารถเขียนได้ทันทีเมื่อต้องการ ย่อมทำให้การเขียนข้อมูลในโซลิดสเตตไดรฟ์เร็วขึ้นไปด้วยTRIM ให้ระบบปฏิบัติการบอก SSD ว่ากำลังลบไฟล์และทำเครื่องหมายหน้าของไฟล์เหล่านั้น
Refer:
https://www.file-recovery.com/jpg-signature-format.htm
https://articles.forensicfocus.com/2018/03/13/forensic-acquisition-of-solid-state-drives-with-open-source-tools/ by Josué Ferreira
https://www.extremetech.com/computing/183162-new-method-of-ssd-garbage-collection-can-boost-drive-performance-up-to-300
https://articles.forensicfocus.com/2018/03/13/forensic-acquisition-of-solid-state-drives-with-open-source-tools/
https://belkasoft.com/ssd-2014
https://www.extremetech.com/computing/183162-new-method-of-ssd-garbage-collection-can-boost-drive-performance-up-to-300
https://articles.forensicfocus.com/2018/03/13/forensic-acquisition-of-solid-state-drives-with-open-source-tools/
https://belkasoft.com/ssd-2014
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment