DIGITAL FORENSICS: How to Check if TRIM Is Enabled

DIGITAL FORENSICS: How to Check if TRIM Is Enabled

     วันนี้จะมาทดสอบการทำงาน Trim  บน SSD (Solid State Drive)

อุปกรณ์ที่ใช้ทดสอบ
1. โน๊ตบุ๊ค Windows 8.1 Pro
2. SSD (Solid State Drive) 240 GB  M.2 2280& external Box  
3. trimcheck-0.7-win64
4. FTK Imager

วิธีที่  1  ตรวจสอบว่า  Trim เปิดใช้งานหรือไม่

ทำการเชื่อมต่อ  SSD External กับ โน๊ตบุ๊ค ใช้คำสั่ง

fsutil behavior query disabledeletenotify

Just compare your results with the results given below to check whether TRIM Support is enabled or not.

DisableDeleteNotify = 1 = TRIM support disabled
DisableDeleteNotify = 0 = TRIM support enabled

ค่า  = 1    TRIM   ยังไม่เปิดทำงาน

ค่า  = 0    TRIM   เปิดทำงาน

DisableDeleteNotify = 0 

How to Enable TRIM

fsutil behavior set DisableDeleteNotify 0

fsutil behavior set DisableDeleteNotify 0

(If you’d like to disable TRIM afterwards for some reason, run the above command with a 1 in place of the 0 .)
หมายเหตุ: ปิดใช้งาน TRIM   fsutil behavior set disabledeletenotify 1″  

วิธีที่  2  ใช้โปรแกรมตรวจสอบว่า Trim ทำงานหรือไม่

ทำการ copy โปรแกรม trimcheck-0.7-win64  ลงบน SSD  แล้ว run

 จะมี Trimcheck-cont.json เกิดใน SSD Drive

 ทำการ Run โปรแกรม trimcheck-0.7-win64  ลงบน SSD  อีกครั้ง  ถ้า Trim ทำงาน จะแสดงค่า TRIM appears to be WORKING

TRIM appears to be WORKING 

แต่ถ้าไม่ทำงานจะแสดงข้อความ  TRIM appears to be Not WORKING 

วิธีที่  3  สังเกต ตำแหน่งของไฟล์  SSD TEST2.JPG

ใช้โปรแกม FTK Imager เปิดไฟล์ SSD TEST2.JPG   size 187 KB ตรวจสอบตำแหน่ง Physical sec number  395115040   บน SSD

ทำการแก้ไขรูปและบันทึกไฟล์ SSD TEST2.JPG  > Edit >save file

ใช้โปรแกม FTK Imager  ให้ เปิดไฟล์ SSD TEST2.JPG   size 182 KB ตรวจสอบตำแหน่ง Physical sec number  395346720  บน SSD

ใช้โปรแกม FTK Imager  ค้นหาไปที่ตำแหน่ง Physical sec number  395115040  ไม่พบไฟล์ SSD TEST2.JPG   ไม่พบข้อมูลใดๆ

 Physical sec number  395115040   ไม่พบข้อมูล

    ผลลัพธ์ เมื่อมีการแก้ไขไฟล์บน SSD ที่ทำงานเปิด TRIM ไฟล์จะลบและถูกย้ายตำแหน่งไปที่อื่น

วิธีที่  4 สังเกต ไฟล์ที่ถูกลบ

    สังเกตไฟล์ Trimcheck-cont.json  ตำแหน่ง Phy sec = 281161680  มีข้อมูล

Physical sec = 281161680

 หลังจาก ลบไฟล์ Trimcheck-cont.json  ตำแหน่ง Physical sec = 281161680  ไม่มีข้อมูล  ข้อมูลว่างปล่าว  โดย Trim จะช่วยให้ระบบปฏิบัติการสามารถแจ้งกับ SSD ว่าข้อมูลใดที่ถูกลบ

Data lost Physical sec = 281161680

สรุป:

โดยปกติ SSD มันไม่สามารถเขียนข้อมูลทับลงไปในส่วนที่มีข้อมูลอยู่แล้วได้ การเปิดใช้งาน TRIM จะช่วยให้ Life Cycle ของ SSD ยาวนานขึ้น ,Trim เป็นการเคลียร์และลบข้อมูลที่อยู่ในตำแหน่งเก่า   โดย Trim จะช่วยให้ระบบปฏิบัติการสามารถแจ้งกับ SSD ว่าข้อมูลใดที่ถูกลบ   เพื่อให้พื้นที่นั้นพร้อมรับการเขียนข้อมูลใหม่ ในระบบปฏิบัติการ  Microsoft Windows 10

ต้องการปิดใช้งาน TRIM  fsutil behavior set disabledeletenotify 1

ที่มา:

https://www.howtogeek.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud