SSD Forensics Part-1

SSD တွေက HDD နဲမတူတဲ့အချက်ကတော့ Flash Translation Layer (FTL)မှာ Garbage collection  နဲ့ Ware-Leveling တို့ကြောင့်ဖြစ်ပါတယ်။ FTL က Logical Block နဲ့ Physical Block ကို ချိတ်ဆက်ပေးတာဖြစ်ပါတယ်။ SSD တင်တဲ့ထား Operation System ကနေ Physical  File နေရာတွေကို Track လုပ်မထားပါဘူး။ HDD နဲ့ကွဲပြားချက်ဖြစ်ပါတယ်။  

Garbage collection က SSD ထဲကနေ မလိုအပ်တဲ့ data တွေဖယ်ထုတ်ပြီး နောက်ထပ် data တွေသိမ်းလို့ရအောင် ပြုလုပ်ပေးပါတယ်။data သိမ်းဆည်းဖို့ အမှန်တစ်ကယ် Page တစ်ခုသာ လိုအပ်ပေမဲ့ Garbage collection ပြုလုပ်တဲ့အခါ Block တစ်ခုလုံးကို ဖျက်ပါတယ်။ Block ထဲမှာ data တွေရှိရင်လဲ အခြား  Page,Block ကို အလိုအလျှောက်ပြောင်းလဲပေးပါတယ်။ 

ပုံအရဆိုရင် Block A ထဲက Page-1 မှာ data save ချင်တယ်- ဒါပေမဲ့ ကျန်တဲ့ Page-2,3,4 မှာ တစ်ကယ့် data တွေကျန်နေသေးတယ်ဆိုရင် Page-2,3,4 က Data တွေက Block-B ကိုရောက်သွားပါတယ်။ Block-B မှာ Block-A ကနေ Page 3 ခုသာပြောင်းသွားတဲ့အတွက် Block-B မှာ Page တစ်ခုလွတ်နေပါတယ်။ လွတ်နေတဲ့ Page မှာ Zero တွေအဖြစ်ရှိပါတယ်။ (AFF4 Image လုပ်တဲ့နေရာမှာ အခုလိုဖြစ်တဲ့ Zero တွေကို ချန်လှပ်ပြီး Image လုပ်နိုင်တဲ့အတွက် ပိုမြန်တာလဲပါပါတယ်) 

နောက်တစ်ခုကတော့ Operation System က ပြုလုပ်နိုင်တဲ့ Trimကြောင့် ဖြစ်ပါတယ်။ Recyclebin ကို Delete လုပ်တာနဲ့ SSD ရဲ့ Block တွေမှာ တစ်ခါတည်းဖျက်လိုက်ပါတယ်။ နောက်ထပ် Data တွေ Save နိုင်အောင်ဖြစ်ပါတယ်။ Flash Translation Layer မှာပါဝင်တဲ့ Function တွေကြောင့် SSD ကို Forensics  Image ပြုလုပ်ပြီး Hash Methdology (MD5,SHA) ပြုလုပ်ရင် Hash Value မတူညီနိုင်ပါဘူး။ 

#ForensicsMyanmar #SSD #Digitalforensics