In den letzten Jahren hat sich eine neue Art der Speicherung von Daten in einem Computer erschienen und erfreut sich wachsender Beliebtheit. Die Solid-State Drive (SSD) ist ein Speichermedium, das "Solid State"-Technologie nutzt, um Daten über die Schaltung ohne die Notwendigkeit für alle beweglichen Teile aufzeichnen. Dies macht es kleiner, das ist ein Teil des Grundes ist der Antrieb der Wahl für Laptops wie das außergewöhnlich dünn und leicht Mac Air.A Standard-Festplatte (HDD) funktioniert, indem die Daten in binärer (Einsen und Nullen) in ' Sektoren auf schnell rotierenden magnetisierten Metall scheibenförmigen Platten. Da die Platten drehen, bewegt sich eine motorisierte Arm einen Kopf in Bögen über die Platten, das Schreiben und Lesen der Daten, wie es geht. Aufgrund ihrer mechanischen Natur, sind Festplatten leicht beschädigt. Überhitzung kann die Platten verformen, so dass Sektoren unlesbar geworden, während Wasser, Feuer oder ein Ruck oder Spannungsspitzen Schäden an die Platten, Aktoren, Motor oder Kopf verursachen kann, vor allem, wenn der Kopf kommt in Kontakt mit der Platte. Im Gegensatz dazu, da eine SSD keine beweglichen Teile hat, es ist ein weniger zerbrechlich als Daten. In der Tat kann es hohe Schlagzähigkeit, Höhenlage, Vibrationen und extremen Temperaturen oft ohne Beschädigung der Daten zu ertragen. Für einen Computer Forensik Experte versucht, Daten von einem Gerät physikalisch beschädigt erholen daher eine SSD könnte eher lesbar information.Unlike HDDs enthalten, verwenden SSDs Zellen um Daten zu speichern. Jede Zelle kann zu schreibenden Daten mit 'Tunneln von Elektronen', wo eine Abgabe auf eine von zwei binären Zuständen (Null oder Eins) die auch erhalten bleiben, wenn die Zelle keinen Strom erzeugen wird.
meisten Bedeutung für die Security-Experte, Datenrettung Computer Forensik Team oder Analyst, ist jedoch, wie Daten gelöscht werden. Wenn ein Benutzer löscht die Daten, werden die entsprechenden Zellen als verfügbar im Betriebssystem den Speicher markiert, aber der physische Zustand der Zelle (und damit die darauf gespeicherten Daten) vorhanden bleibt.
Es ist nur, wenn das Betriebssystem kommt, um neue Daten in dieser Zelle zu schreiben, dass ihr Staat muss zuerst wieder auf die neue Schreib unterzubringen. Was ist dies für forensische Analysten, dass erhebliche Teile der Daten existieren könnte, nachdem sie 'deleted' durch den Benutzer, sondern auch für die User Experience, verlangsamt sich der zusätzliche Schritt des Schreibprozesses unten. Um dieses Problem anzugehen, hat die TRIM-Befehl wurde entwickelt, welches ein Betriebssystem auf den physikalischen Zustand der Zellen, die nicht in Gebrauch sind, anstatt einfach das Markieren sie als verfügbar zurückgesetzt. Dies bedeutet, wenn ein Betriebssystem läuft TRIM, löschen wirklich bedeutet, zu löschen; der physische Zustand der Zelle wird zurückgesetzt an der Stelle der Löschung der Datei sein, so dass die Rückforderung unmöglich.
Natürlich ist dies nicht zu sagen, dass andere Spuren der Datei möglicherweise nicht in anderen Ländern bestehen - zum Beispiel eine Vorschau eines Bildes könnte in das Betriebssystem die Cache bleiben - aber es bedeutet, dass jeder Versuch, Daten aus einer erholen SSD wird sich einer größeren Herausforderung als vor dem Aufkommen der TRIM. Zum Zeitpunkt des Schreibens, hat TRIM in Windows 7 und Snow Leopard umgesetzt - die neuesten Betriebssysteme, die als Standard bei PCs und Apple-Computern installiert sind, und so dürfte zunehmend Einfluss auf die Arbeit der Computer Forensik Ermittler in den kommenden Monaten und Jahre, zumal die Kosten für die Herstellung hoher Kapazität SSDs fällt, und die Popularität steigt.
Was kostet eigentlich ein Detektiv?
Keine Kommentare:
Kommentar veröffentlichen