SSD Forensics Part-1
SSD တွေက HDD နဲမတူတဲ့အချက်ကတော့ Flash Translation Layer (FTL)မှာ Garbage collection နဲ့ Ware-Leveling တို့ကြောင့်ဖြစ်ပါတယ်။ FTL က Logical Block နဲ့ Physical Block ကို ချိတ်ဆက်ပေးတာဖြစ်ပါတယ်။ SSD တင်တဲ့ထား Operation System ကနေ Physical File နေရာတွေကို Track လုပ်မထားပါဘူး။ HDD နဲ့ကွဲပြားချက်ဖြစ်ပါတယ်။
Garbage collection က SSD ထဲကနေ မလိုအပ်တဲ့ data တွေဖယ်ထုတ်ပြီး နောက်ထပ် data တွေသိမ်းလို့ရအောင် ပြုလုပ်ပေးပါတယ်။data သိမ်းဆည်းဖို့ အမှန်တစ်ကယ် Page တစ်ခုသာ လိုအပ်ပေမဲ့ Garbage collection ပြုလုပ်တဲ့အခါ Block တစ်ခုလုံးကို ဖျက်ပါတယ်။ Block ထဲမှာ data တွေရှိရင်လဲ အခြား Page,Block ကို အလိုအလျှောက်ပြောင်းလဲပေးပါတယ်။
ပုံအရဆိုရင် Block A ထဲက Page-1 မှာ data save ချင်တယ်- ဒါပေမဲ့ ကျန်တဲ့ Page-2,3,4 မှာ တစ်ကယ့် data တွေကျန်နေသေးတယ်ဆိုရင် Page-2,3,4 က Data တွေက Block-B ကိုရောက်သွားပါတယ်။ Block-B မှာ Block-A ကနေ Page 3 ခုသာပြောင်းသွားတဲ့အတွက် Block-B မှာ Page တစ်ခုလွတ်နေပါတယ်။ လွတ်နေတဲ့ Page မှာ Zero တွေအဖြစ်ရှိပါတယ်။ (AFF4 Image လုပ်တဲ့နေရာမှာ အခုလိုဖြစ်တဲ့ Zero တွေကို ချန်လှပ်ပြီး Image လုပ်နိုင်တဲ့အတွက် ပိုမြန်တာလဲပါပါတယ်)
နောက်တစ်ခုကတော့ Operation System က ပြုလုပ်နိုင်တဲ့ Trimကြောင့် ဖြစ်ပါတယ်။ Recyclebin ကို Delete လုပ်တာနဲ့ SSD ရဲ့ Block တွေမှာ တစ်ခါတည်းဖျက်လိုက်ပါတယ်။ နောက်ထပ် Data တွေ Save နိုင်အောင်ဖြစ်ပါတယ်။ Flash Translation Layer မှာပါဝင်တဲ့ Function တွေကြောင့် SSD ကို Forensics Image ပြုလုပ်ပြီး Hash Methdology (MD5,SHA) ပြုလုပ်ရင် Hash Value မတူညီနိုင်ပါဘူး။
#ForensicsMyanmar #SSD #Digitalforensics
Comments