SSD Recovery, Limitation and Suggestion

Digital Forensic ရှုထောင့်ကနေကြည့်ရင် SSD တွေရဲ့ လုပ်ဆောင်ပုံဟာ ရိုးရိုး Hard Drive (HDD) တွေနဲ့ လုံးဝမတူတဲ့အတွက် သေချာနားလည်ထားဖို့ လိုအပ်ပါတယ်။

SSD မှာ Data တွေဖျက်လိုက်ရင်ဘာဖြစ်သွားလဲ?

အခုခေတ်ပေါ် SSD တွေမှာ TRIM Function ကို ပုံသေ (Default)  အနေနဲ့ထည့်သွင်းပေးထားပါတယ်။ 

TRIM ဟာ SSD ရဲ့ သက်တမ်းကို ပိုရှည်စေဖို့နဲ့ Performance ကို ထိန်းသိမ်းဖို့အတွက် Wear Levelling နဲ့ Garbage Collection (GC) စနစ်တွေနဲ့ ပေါင်းစပ်အလုပ်လုပ်ပါတယ်။

Data ကို ဖျက်လိုက်တဲ့အခါ ဒါမှမဟုတ် Drive ကို Format ချလိုက်တဲ့အခါ အောက်ပါအတိုင်း ဖြစ်သွားတတ်ပါတယ် -

👉TRIM Command ပေးပို့ခြင်းအပိုင်း။

OS ကနေ SSD Controller ဆီကို ဒီဒေတာတွေ မလိုအပ်တော့ကြောင်း TRIM Command ပို့လိုက်ပါတယ်။

👉Invalid အဖြစ် သတ်မှတ်ခြင်းအပိုင်း။

SSD Controller က အဆိုပါ Flash Blocks တွေကို "အသုံးမဝင်တော့တဲ့ (Invalid Block )" အဖြစ် မှတ်သားလိုက်ပါတယ်။

👉Garbage Collection (GC) လုပ်ဆောင်ခြင်း။ 

 နောက်ပိုင်းမှာ GC စနစ်ကနေ Data ရှိနေတဲ့ Blocks တွေကို Drive အတွင်းပိုင်းမှာတင် အပြီးတိုင် ဖျက်ပစ် (Erase) လိုက်ပါတယ်။

👉ဖျက်ဖို့အချိန်သတ်မှတ်ချက်။

ဒီလို ဖျက်ပစ်ဖို့ ကြာမြင့်ချိန်ဟာ Drive ကို ပါဝါဖွင့်ထားတဲ့အချိန်၊ Uptime နဲ့ Controller ရဲ့ Firmware အပေါ်မှာ မူတည်ပါတယ်။ Company တစ်ခုထဲကထုတ်နဲ့ Firmware မှာကိုယ်က Model အလိုက် Firmware ကမတူပါဘူး။

ဒီလို SSD အတွင်းပိုင်းမှာတင် အပြီးတိုင်ရှင်းလင်းပစ်တဲ့ Internal Cleanup ကြောင့်ပဲ SSD မှာ ဖျက်လိုက်တဲ့ Data တွေကို ပြန်ဆယ်ဖို့ ခက်ခဲသွားတာဖြစ်ပါတယ်။ 

ရိုးရိုး HDD တွေမှာတော့ ဒေတာရှိတဲ့နေရာ (Sector) ကို overwrite မလုပ်မချင်း Data တွေက နဂိုအတိုင်း ကျန်နေတတ်ပါတယ်။

👉Data ပြန်ရနိုင်တဲ့ (Recovery Possibilities) ရှိသလား? အနည်းငယ်ရှိပါတယ်။ဒါပေမဲ့ အရမ်းကန့်သတ်ချက်များပါတယ်။

PC-3000 လိုမျိုး Storage  Forensic Hardware/Software Tools တွေကို သုံးပြီး SSD တွေရဲ့ (Low-level)  အထိ Access လုပ်နိုင်တဲ့ Products တွေသုံးပြီး Data အချို့ကို ပြန်ရနိုင်ချေရှိပါတယ်။

👉Safe Mode ဒါမှမဟုတ် Vendor-specific modes နဲ့ Access လုပ်ခြင်း။ Vendor modes ကတော့ Power and Money အရမ်းရှိမှ အဆင်ပြေမှာပါ။

👉Controller Firmware နဲ့ တိုက်ရိုက်ချိတ်ဆက်ခြင်း။

👉Garbage Collection အပြည့်အဝ မလုပ်ဆောင်ရသေးခင်မှာ ဖျက်ထားတဲ့ Data တွေကိုရယူခြင်း။

အဓိက အကန့်အသတ်များ (Critical Limitations) ကတော့ PC-3000 လို Tools မျိုးရှိရင်တောင် အောက်ပါအချက်တွေကြောင့် Data မရနိုင်တော့တာမျိုး ဖြစ်နိုင်ပါတယ် ။

👉SSD Controller အမျိုးအစားနဲ့ ထုတ်လုပ်သူရဲ့ နည်းပညာ (Implementation)။

👉Data ဖျက်ပြီးနောက် ကြာမြင့်သွားတဲ့ အချိန်ကာလ။

👉Data ဖျက်ပြီးနောက် Drive ကို ပါဝါဘယ်လောက်ကြာကြာ ဖွင့်ထားသလဲဆိုတဲ့အချိန်ကာလ။

TRIM နဲ့ Garbage Collection ရဲ့ လုပ်ဆောင်နိုင်မှု (Aggressiveness) အပိုင်း။ အချို့က ချက်ခြင်းဖျက်တယ်။ အချို့က Drive Idel ဖြစ်နေတဲ့အချိန်ဖျက်ပါတယ်။

အရေးအကြီးဆုံးကGarbage Collection က Data ရှိတဲ့ Flash Blocks တွေကို ဖျက်ပစ်လိုက်ပြီဆိုရင်တော့ PC-3000 အပါအဝင် ဘယ် Forensic Tool နဲ့မှ ဖျက်လိုက်တဲ့ Data တွေကို ပြန်မရနိုင်တော့ပါဘူး။

Digital Forensics Examiners များအတွက် အဓိကအချက် တွေကတော့ -

SSD Forensics ဟာ မဖြစ်နိုင်တာတော့ မဟုတ်ပါဘူး၊ ဒါပေမဲ့  အချိန်ဟာ အရေးကြီးဆုံးပါ (Highly Time-sensitive) ကြာလေလေData ပျောက်လေပါပဲ။

Controller အပေါ် လဲမူတည်ပါတယ်:။ Drive တစ်ခုချင်းစီရဲ့ Firmware အပေါ်မူတည်ပြီး ရလဒ်ကွာခြားနိုင်ပါတယ်။ HDD ထက် ခန့်မှန်းရခက်ပါတယ်။ Recovery ရနိုင်ချေကို သေချာပေါက် ပြောဖို့ခက်ပါတယ်။

Suggestions အနေနဲ့

သက်သေခံ SSD Drive ကို သိမ်းဆည်းရမိတဲ့အခါ ဒေတာတွေ Garbage Collection ကြောင့် ပျောက်ပျက်မသွားစေဖို့ ချက်ချင်းသီးခြားခွဲထုတ်ခြင်း (Early Isolation)၊ ပါဝါမပေးဘဲ ထားရှိခြင်း (Minimal Power-on) နဲ့ မှန်ကန်တဲ့ Forensic Handling တွေဟာ အလွန်အရေးကြီးပါတယ်။ ပုံကတော့ အဆင့်လိုက် ကြည့်ရတာ အဆင်ပြေအောင် AI နဲ့ထုတ်ထားပါတယ်။ အခု Post က SSD Forensic အကြောင်းရေးထာတဲ့ထဲကမှ အတိုချုပ်ပြန်ရေးထားတာပါ။