从SSD恢复少量已删除数据的原因

Question

在他们2018年的论文“固态驱动取证:我们的立场是什么？”，Vieyra等人。讨论从SSD中恢复已删除的数据。

为了他们的实验，他们给12个SSD写了大量的文本，然后移位-删除了这些文件，并试图使用X-取证方法恢复数据。

这个图表显示了他们能够恢复多少数据：

在这里，我假设驱动器7 (75 %恢复)和11 (100 %恢复)没有正确实现TRIM。

读了这篇论文，作者们似乎没有给出任何含蓄或明确的解释，为什么他们能够从这些SSD恢复任何数据。

我可以为这些次百分比的数据恢复提出一个猜想: SSD中的一些页面从一开始就有问题，这意味着写入同一块中的其他页面很好，但是由于其中有错误的页面，块不能被擦除。使页面在第一次写完后才能读。

另一方面，SSD的FTL可能会将这些页面复制到一个由健康页面组成的不同块中，将原来的块标记为坏块，并将其隐藏在操作系统中。

作者能够从SSD中恢复少量已删除数据的可能解释是什么？

Answer 1

TRIM不是一种安全措施，而是一种优化。写已经使用过的闪存通常比写未使用的闪存更昂贵，而TRIM的设计是为了重新设置闪存，这样写起来更快，效率更高。它的目标不是专门销毁磁盘上的数据。

对于这种情况，最有可能的解释是，作为将数据写入磁盘的一部分，少量的数据最终出现在OS日志中，并且没有被覆盖。也有可能一个或多个块没有被完全清除，因为操作系统会在TRIM发布之前立即重用它们。例如，操作系统根本没有义务发送TRIM，因为它只是一个优化。

如果要确保攻击者无法访问磁盘上的数据，则必须对磁盘进行加密。您应该在软件中这样做，因为通常磁盘加密标准(例如OPAL)没有充分描述用于确保数据安全的加密技术，并且有许多在硬件或固件中使用的加密是不安全的。