固态硬盘格式化后数据恢复操作方法 数据恢复技术是取证环节中是不可或缺的,或者说非常重要的一项手段。取证人员往往能从嫌疑人已删除的数据中发现一些重要线索,甚至可以影响案件的侦破方向。那么对于传统的...
固态硬盘格式化后数据恢复操作方法
数据恢复技术是取证环节中是不可或缺的,或者说非常重要的一项手段。取证人员往往能从嫌疑人已删除的数据中发现一些重要线索,甚至可以影响案件的侦破方向。那么对于传统的机械硬盘而言,一般情况下在不对硬盘进行二次破坏或者数据覆盖的情况下,大多数情况下是可以几乎完整的恢复出删除的数据。
比如NTFS文件系统下删除某个文件后,对应文件的MFT项只是更改了表示文件状态的字节。比如由01改为00表示文件被删除,那么文件的数据区并未发生变化;再比如FAT32文件系统下文件被删除后对应FDT首字节被E5标记,但数据区域同样不会有任何变化。
那么固态硬盘无论其读写速度、硬盘体积以及工作条件都要优于机械硬盘,而且目前的价格还有硬盘容量都被我们普通用户所能接受。所以在我们当下乃至未来的取证工作中,固态硬盘都将是数据存储的主要存储介质。但是在取证工作一个很棘手的问题,那就是固态硬盘的数据恢复几乎是不可能实现的。即便掌握了文件系统级的数据恢复技术,非常了解NTFS文件系统、非常了解FAT32文件系统了,甚至都可以通过手工的方式在底层进行数据提取。但是面对固态硬盘的删除恢复同样没有办法。所以,我们一般都认为固态硬盘数据删除相当于底层数据清零,绝无数据恢复的可能。
当然说得并不严谨,应该说开启了Trim后的固态硬盘,数据恢复几乎不可能实现。既然开启了Trim就不能做数据恢复了,那如果关闭Trim再继续使用硬盘是不是就不用担心数据恢复的问题呢?答案是肯定的,但是对于固态硬盘而言为了增加硬盘的使用寿命,建议还是开启Trim机制。
·TRIM 是一个专门为SSD设计的指令。当在操作系统下删除某个文件后会发送Trim指令给SSD,使其数据无效,在做垃圾回收的时无需做数据搬运。
·最直观可见的现象是,删除的文件无法通过常规的手段恢复。
·有益于延长Flash的损耗,以达到增加SSD使用寿命的目的。
那么对于取证工作而言呢,最直观的表现就是,想要恢复固态硬盘中丢失的数据往往是无法实现的。经过扫描发现文件的文件名,时间戳等信息都在,但是跳转到数据区后发现全是零,或者甚至连文件名都扫描不出来。
虽然Trim给我们带来了很多的困扰和阻碍,但数据安全存储安全才是硬盘最该考虑的问题。为了延长硬盘的寿命所以Trim机制就没发明出来了。
Trim数据恢复技术的适用范围
那么是不是所有的固体硬盘经过Trim后之后都可以做数据恢复呢?理论上来说,是这样的。但是从实际操作角度而言,并非所有都支持。目前可按照硬盘的主控芯片作为判定标准的。我们都知道无论是传统的机械硬盘还是固态硬盘,都需要有主控芯片,主控芯片相当于我们计算机的CPU,硬盘的一切工作和任务都需要主控芯片下达指令。
(SSD结构)
SSD主控是一个技术深度和市场广度都很大的芯片产品,SSD发展初期主控芯片厂商较少,原因是涉及和生产一款新的芯片的要求和门槛较高。如今由于SSD的蓬勃发展和普及,配套的主控厂商看到了发展的前景和利润,纷纷切入这个产品,图中几款常见的硬盘主控。
(常见SSD主控品牌)
·Marrvell是全球排名第一的HDD和SSD主控芯片供应商,从2007年开始在SSD主控领域布局,2008年推出第一代SATA SSD产品。Marrvel凭借着HDD领域二十多年的经验积累,其主控技术均领先于一般供应商。
·三星的主控基本上都是三星自己的SSD在使用,三星硬盘的品质也得到了市场和消费者的验证,确实十分优秀这都要得益于三星自家的主控算法。
·当然还有一些大厂都拥有自己的主控产品,比如东芝、因特尔等。
同样国产主控在中低端市场的占比也是非常可观的,常见的台系主控有慧荣、群联,当然还有智微、硅格等等。
可以说是全球闪存控制芯片的技术领导者和先驱者,从2000年开始就提供flash存储的解决方案;群联也是2000年成立,从提供全球首颗单芯片U盘控制芯片起家。目前这两家国产芯片在中低端SSD中市场占比量是非常大的,我们取证和恢复过程中,ATA协议的 SSD大多采用这两种主控。
我们的服务宗旨:专业,诚信,规范,放心,满意,合理消费,值得信赖
我们对顾客承诺:免费检测,现场恢复,恢复不好不收取任何费用
温馨提示:请先电话咨询!本地客户可以选择到店/闪送维修,全国寄修
服务地址:成都市一环路南二段1号(磨子桥口)数码科技大厦4楼413(不是数码广场)
乘车路线:地铁可以乘坐3号线磨子桥下D出口前行60米;也可以乘坐公交在磨子桥下车