固态硬盘的电子数据取证探讨分析

【摘 要】当前，我们已经进入信息化时代，计算机网络技术不断发展与普及，网络违法犯罪行为也在不断增加，要想打击这些犯罪活动，就要做好电子数据取证工作。本文主要探讨固态硬盘的相关电子数据取证工作。首先对固态硬盘进行了简单介绍，然后对取证面临的问题进行阐述，最后对其主要运用形式和相应的取证措施进行探讨。

【关键词】固态硬盘；电子数据；取证

固态硬盘的出现，使得计算机性能得到大幅提升，被广泛应用在各个行业之中。但是对电子数据取证工作来说，其结构以及工作原理都和我们以前较为熟悉的机械硬盘有着明显的区别，因此，取证人员要加以重视，对安装固态硬盘的相关计算机中的电子证据进行有效提取。

1 概述

固态硬盘是一种容量较大的存储器，其存储介质是固态半导体芯片，主要分为闪存以及DRAM两种。后者在使用时要有独立电源，一些特殊设备才会运用到这种固态硬盘，我们主要探讨利用闪存的这种固态硬盘。它和机械硬盘是不同的，构造较为简单，主要组成部分有外壳以及印刷电路板。外壳只是有保护的作用，印刷电路板是核心。我们一般能够见到的容量在16G到1.6T之间。

和机械硬盘比起来，固态硬盘的特点主要是：一是读写速度比较快，它采用的是电气信号，在闪存芯片上实行读写操作。机械硬盘要利用磁头进行往复的移动，但是固态硬盘，其寻道时间仅仅是零点几毫秒，它在大数据持续读写以及4K随机读写方面具有较为明显的优势。二是防震抗摔性能较强，它的存储介质是闪存芯片，和机械硬盘需要磁头与盘面进行碰撞是不同的，即使是在高速移动以及震荡时，固态硬盘也能够保持工作的正常，其抗震性与抗冲击性比较强。三是功耗较低且没有噪音，固态硬盘没有什么轴承与电动机，同时也不需磁头进行运动，其功耗和机械硬盘相比，要低得多，在理论上，也没有什么噪音。四是其对工作环境没有太高的要求，它能够在-10℃到70℃的环境中进行工作，但是机械硬盘却只能在5℃到55℃的环境中工作。五是容量较小且价格高，和TB级机械硬盘相比，固态硬盘在容量方面有一定的劣势，容量相同时，其价格要比机械硬盘高出很多。六是寿命限制被写入，对于固态硬盘来说，其闪存芯片是有一定的擦写次数限制的，最为低端的芯片，其擦写次数在理论上仅为500次，最好的芯片，其擦写次数大约为10万次。一旦硬盘损坏，那么其数据就无法进行恢复。

2 取证面临的问题

2.1 存储方式给取证带来困难

固态硬盘在数据存储方式上和机械硬盘有着极大的差别。对于机械硬盘来说，其数据存储的主要组成部分有：一是对数据进行存储的磁盘，二是对电磁信号进行读写的磁头以及磁头控制器。在对数据进行读写时，磁盘处于高速旋转之中，磁头控制器会在磁盘上面带动着磁头进行径向移动。由于两者的作用，磁头会在磁盘指定位置上定位操作。而对于固态硬盘来说，其存储方式和U盘接近，其数据存储以及读写都是在闪存芯片中得以进行的。闪存是能够进行擦除与编程的一种只读存储器，能够快速进行读、写和抹除。在固态硬盘中，其闪存被划分成了区块，在区块中又被划分成了页面。在对数据进行读写的时候，计算机会对二进制的各种数字信号进行转换，成为复合二进制的各种数字信号，将其发送至适配器的接口处，由主控芯片进行分配以后在闪存页面上面进行写入，从而对数据进行存储。

2.2 垃圾回收给取证带来困难

机械硬盘与固态硬盘在接收到写入数据的相关指令之后，会将旧数据删除之后将新数据写入。对于固态硬盘来说，其数据写入的最小单位是页面，数据删除的最小单位是区块，所以，要想将一个区块内的某一个页面数据删除，就要先将这一区块内的其他数据复制在别的区块之内，再将要进行删除的区块进行删除，但是这样的话就会出现写入的延时。为了解决这一问题，制造商使用了垃圾回收的相关机制，对数据进行不定期的自动删除，使得数据被彻底删除，无法恢复。另外，为了确保各个区块之间使用的均衡，防止因为提前损耗对硬盘造成影响，采用了均衡磨损的相关机制，这样每一个区块在使用中能够保持均衡，但是同时也进行了均衡擦除。操作系统同时也优化了固态硬盘，特别是TRIM指令，它能确保垃圾快速回收，但是它在操作系统中对一个数据进行了删除，也会将所有内容快速擦除。结合实践情况，我们发现这几个方面给电子数据取证工作带来了极大的困难：由于垃圾回收的作用，用户在将数据删除之后硬盘就会将这一区块彻底清空，不仅仅是将索引删除，数据没有被保留下来。均衡磨损确保垃圾回收能够对擦除的区块进行均衡。TRIM指令提升了垃圾回收的效率。在三者作用下，无法在固态硬盘中对数据进行恢复，也不能利用未分配簇对证据文件碎片进行查找。因此，在固态硬盘中，要把主要的精力放在没有被删除的数据上。

3 使用形式和相应的取证措施

3.1 被用作单独的硬盘

比如，在苹果MBA系列的电脑中就是利用固态硬盘当做唯一的一个硬盘。我们在工作中比较常见的硬盘，其容量在64G到256G之间。如果遇到这样的计算机，那么我们首先要做的就是对其操作系统进行判断，如果操作系统是Windows XP之前的，那么可以尝试对数据进行恢复，但是如果操作系统是Windows7或者是以后的，那么就要重点关注还没有进行删除的数据上。

3.2 和机械硬盘同时进行使用

在这种情况下，固态硬盘被当做系统盘，当前台式机中最为常见的就是这种模式，很多笔记本用户利用光驱位硬盘的相关模式也能够形成这种模式。这种模式中，固态硬盘一般都是C盘，用来对操作系统以及工作软件进行安装，机械硬盘是数据仓库，用来对文件进行存储。对于这种计算机，首要的就是对用户具体的操作习惯进行分析，思考文件可能会放在哪一个硬盘之中，然后有针对性地做好取证的相关工作。

3.3 被用作高速缓存

主要在低端超极本中进行运用。有的厂商为了减少成本，利用的是容量比较小的板载固态硬盘以及机械硬盘，两者形成了形式较为特殊的磁盘阵列。这种计算机的价格比较便宜且便携性较好，在我们的工作中也能经常碰到。因为这种电脑中的固态硬盘一般还是对最近的各种访问数据进行存储，从而使硬盘响应速度提升，用户的各种文件还是在机械硬盘中存放，但是因为两者之间已经形成了一个阵列，所以在遇到这种计算机时要利用专用的设备进行在线勘查。

3.4 关于混合硬盘

这是硬盘的一种新类型，主要是机械硬盘和固态硬盘进行结合后的一种产品。它不仅包括了机械硬盘中的碟片以及马达还有磁头，还包括了闪存芯片。这种硬盘可以对用户具体的使用习惯进行自动学习，从而把用户常常进行访问的相关数据放在闪存之中，其读取性能和固态硬盘相似。这种硬盘在平常是比较少见的，其中的闪存芯片主要的作用是缓存，其大部分数据还是在机械部分，所以，在取证时要和机械硬盘相似。

4 结语

综上所述，在遇到固态硬盘的时候，首先要对其使用方式进行判断，看它是单一的模式还是和机械硬盘共同使用，还是只被用作加速缓存，另外，还要对计算机的相关操作系统进行分析，对用户使用习惯进行分析，从而将取证重点确定好。对于固态硬盘与机械硬盘，要利用不一样的方法与思路进行取证，还要对取证设备进行了解，利用专业设备对电子数据进行取证。

参考文献：

[1]徐霞，黄攀.科技与道德――以电子数据取证为例[J].学习月刊，2014（10）.

[2]邹滨涛.浅谈固态硬盘的电子数据取证[J].法制博览，2014（11）.

[3]欧阳乐，杨昆.电子数据的使用现状及发展前景[J].中国检察官，2014（03）.