Após um processo de formatação, é possı́vel recuperar dados
em um SSD?
Marcos A. C. Corrêa Júnior, Ruy J. Guerra B. de Queiroz
Universidade Federal de Pernambuco (UFPE)
{maccj, ruy}@cin.ufpe.br
Abstract. Solid-state drives (SSDs) are becoming popular, they offer significant
advantages in comparison with traditional hard disk drives (HDDs). Low power
consumption, fast response times, resistance to damage from physical shock, no
moving parts are some advantages. To overcome some limitations, SSDs incorporate optimizations, the most commons are wear leveling, garbage collection
and TRIM. These optimizations operate transparently to the host OS, and add
complexity to the SSD internal operation and may have a significant impact in
data remanence. This research shows that is possible to recover data from SSD
after a disk formatting process, the experimental findings demonstrate that at
least in this case is possible recover a big amount of files.
Resumo. Solid-state drives (SSDs) estão se tornando cada vez mais populares por apresentarem vantagens significativas frente aos discos magnéticos
(HDDs): baixo consumo de energia, maior velocidade, além de maior resistência a danos fı́sicos pois não possuem partes móveis. Porém, SSDs possuem
algumas limitações. Para minimizar essas limitações e potencializar as vantagens, foram criadas algumas otimizações, dentre elas: “wear leveling”, “garbage collection” e TRIM. As otimizações operam de forma transparente para o
sistema operacional hospedeiro, mas adicionam obscuridade ao funcionamento
interno do SSD, e podem impactar significativamente na remanescência de dados. Este trabalho mostra - através de uma comprovação prática - que apesar
dos procedimentos internos de otimização destruı́rem dados apagados em um
SSD, é possı́vel recuperar arquivos nesse SSD.
1. Introdução
Flash memory solid-state drives (SSDs), até pouco tempo atrás, eram muito difı́ceis de
encontrar. Hoje, observa-se uma utilização crescente deles em computadores pessoais,
além de sua utilização em servidores nos data centers. Especialistas divergem no que
diz respeito a definir uma data para a substituição dos antigos hard disk drives (HDDs)
pelos modernos SSDs. Conforme Jim O’Reilly, em artigo recente na Network Computing [O’Reilly 2015], com o aumento da capacidade e diminuição do preço dos SSDs
(com o advento da 3D NAND) não haverá muitos motivos para alguém comprar um HDD.
A expectativa é que, com a queda de custos e aumento de capacidade, tenha-se um crescimento natural no uso de drives de estado sólido. Howard Marks, também escritor na
Network Computing, contrapõe-se a algumas afirmações de O’Reilly e assevera: antes de
2020 os preços de HDDs ainda serão bem menores que os de SSDs, constituindo-se ainda
vantagem competitiva dos HDDs [Marks 2015].
A disputa entre SSDs e HDDs é compreensı́vel, pois os dois dispositivos são
mı́dias de armazenamento secundário e o número de computadores os quais usam drives de estado sólido em substituição aos tradicionais discos magnéticos está crescendo.
A IDC (International Data Corporation) estima que o armazenamento utilizando flash,
incluindo discos hı́bridos (conhecidos como SSHDs, que unem os pratos magnéticos e
capacidade dos HDDs com um SSD pequeno e veloz) e também os discos puramente
compostos de memória flash (conhecidos como SSDs), atingiram no último ano a cifra de
US$ 11.3 bilhões [Patrizio 2015].
Muitos sistemas de armazenamento vêm adotando o SSD como tecnologia para a
guarda de dados persistentes devido à reduzida latência de entrada e saı́da, aumento da
largura de banda e outros ganhos de desempenho. SSDs são compatı́veis com a interface do HDD e podem substituir as unidades de disco magnético para armazenamento
persistente de dados e programas nos computadores modernos.
Drives de estado sólido têm em seu interior uma estrutura diferente e também operam internamente de forma bem distinta dos discos magnéticos, apesar de muitos deles serem projetados para funcionar utilizando as mesmas interfaces (SATA/IDE/SAS). A compatibilidade com interfaces também utilizadas em discos magnéticos confere aos SSDs
compatibilidade com dispositivos computacionais que já utilizam HDDs como mı́dia de
armazenamento, o que facilita uma gradativa substituição dos HDDs por SSDs. Apesar da
compatibilidade de interfaces, os mecanismos que operam internamente para aperfeiçoar
o desempenho e a vida útil de drives de estado sólido criam incerteza no que diz respeito
à utilização de técnicas de recuperação de arquivos apagados ou que passaram por um
processo de formatação da unidade.
Diferentes modelos de SSD podem ter processos internos diferentes, ou podem
implementar de forma diferente os mesmos processos. O comportamento divergente entre os solid-state drives pode ser explicado, em parte, por diferença na implementação
dos controladores da memória flash. Neste trabalho, é proposto um teste especı́fico,
cujo propósito é avaliar as peculiaridades e o comportamento de um SSD depois de um
processo de formatação dessa unidade. A análise prática tenta recuperar qualquer dado
possı́vel que ainda permanece na unidade após o processo de formatação. Os resultados
obtidos em experimentos de recuperação (após apagamento ou formatação de SSDs) podem determinar, por exemplo, uma mudança no paradigma de procedimentos de forense
computacional [Bell and Boddington 2010].
O restante deste artigo está organizado da seguinte forma: O solid-state drive
é detalhado na Seção 2. A Seção 3 apresenta trabalhos relacionados à persistência e
recuperação de dados em SSD. A Seção 4 traz uma visão geral da metodologia e das
técnicas de recuperação de arquivos empregadas. Na Seção 5 são apresentados resultados
e uma discussão sobre eles. Finalmente, a Seção 6 apresenta as conclusões deste trabalho
e a proposição de linhas de pesquisa para trabalhos futuros na área.
2. O Solid State Drive
O sistema de memória de um dispositivo computacional pode empregar diferentes tipos
de memórias para que haja um equilı́brio entre custo, velocidade e capacidade de armazenamento. Discos magnéticos (HDDs) e drives de estado sólido (SSDs) são dispositivos de
armazenamento secundário, eles têm como caracterı́stica a preservação das informações
ali armazenadas, mesmo na ausência de uma fonte de alimentação externa.
A terminologia “estado sólido” refere-se ao fato de que dados são armazenados
em arranjos fixos de transistores eletrônicos, os quais permitem que a leitura e escrita
sejam executadas de forma bem mais rápida nos drives de estado sólido.
Uma comparação realizada pela Intel, apresentada na Tabela 1, mostra vantagens
do SSD sobre seu concorrente direto, o HDD [Intel 2010].
Tabela 1. Comparação entre SSD e HDD [Intel 2010]
Tempo de inicialização de um SO
Resistência a impacto e vibração
Consumo de energia (por semana)
Confiabilidade (MTBF)
Ruı́do de operação
SSD
∼ 19 s
1.500 G
∼ 35 Wh
∼ 1,2 x 106 h
0 dB
HDD
∼ 30 s
900 G
∼ 55 Wh
∼ 0,6 x 106 h
25 dB
Vantagem do SSD
∼37% menor
∼ 60% mais imune
mais de 20% menor
∼ 100% mais confiável
nenhum ruı́do
O SSD é um dispositivo mais complexo, é um sistema que pode internamente gerenciar troca de dados, funções de criptografia e compactação, além de outros mecanismos
especı́ficos por meio de um processador interno ao drive. Para entender o funcionamento
interno, divide-se didaticamente o SSD em dois componentes fundamentais: as células de
memória flash e o controlador de memória.
2.1. Controlador de Memória
O controlador de memória é o principal responsável pelo desempenho e confiabilidade
do SSD, na arquitetura de alto nı́vel do controlador de memória apresentado na Figura 1,
podem-se distinguir três diferentes partes:
• interface do HOST - situa-se entre o host (computador) e o SSD, os protocolos
precisam ser compatı́veis com padrões da indústria usados para HDDs, são exemplos desses padrões: SATA, SAS e PCIe;
• firmware também conhecido como flash file system - algoritmos internos de leitura, escrita, modificação, apagamento e outras funções inerentes a processos
internos como wear levelling, gerenciamento de bad block, garbage collection,
TRIM;
• código corretor de erro (ECC) - identifica e corrige erros de bits.
Diferentemente de outros produtos de armazenamento, para SSDs não há padrões
especı́ficos da indústria de como deve-se armazenar ou apagar os dados. Após a interface
que existe entre o computador e o drive de estado sólido, cada fabricante constrói livremente a estrutura e algoritmos internos com o intuito de atingir a máxima performance,
logo há uma grande variação entre diferentes marcas e modelos.
2.2. Células de Memória
Memória flash NAND é um tipo de memória não volátil (Non-Volatile Memories - NVM),
ou seja, o conteúdo armazenado é preservado após a retirada da fonte de alimentação,
além disso, o conteúdo pode ser eletricamente alterado. Solid State Drive (SSD) é uma
das últimas aplicações de memórias flash [Micheloni and Eshghi 2013].
Figura 1. Visão da arquitetura de alto nı́vel do controlador de memória flash
[Micheloni and Eshghi 2013]
Célula flash NAND recebe essa denominação devido à operação lógica “Not
AND” empregada em sua construção. A célula é baseada na tecnologia de Floating Gate
(FG). Pode-se observar a representação de um floating gate MOSFET na Figura 2. Um
transistor do tipo MOSFET é construı́do com dois gates sobrepostos em lugar de apenas
um: o primeiro é completamente envolvido por óxido, enquanto o segundo é utilizado
para formar o terminal. As operações realizadas para injetar e remover elétrons no gate
isolado são chamadas de programação e apagamento (do inglês, program and erase P/E), respectivamente. Essas operações modificam a voltagem VT H deste tipo especial de
transistor do tipo MOS (floating gate MOSFET) [Micheloni and Eshghi 2013].
Brown e Brewer [Brown and Brewer 1998] afirmam que os processos de
programação e apagamento são destrutivos para a fina camada de isolamento dielétrico
feita de SiO2 (silicon dioxide glass) que existe entre o floating gate e o canal de um
transistor. Os processos destrutivos utilizados nesses processos causam degradação do
dispositivo e limitam a vida útil da memória flash de forma proporcional ao número de
ciclos de Programação/Apagamento (Program/Erase - P/E) [Perdue 2008].
Células de memória flash são organizadas em uma hierarquia em que a menor
unidade é a própria célula, o agrupamento de células são páginas, o agrupamento de
páginas são blocos e o conjunto de blocos constitui a memória flash NAND.
A expectativa do tempo de utilização de um SSD está ligada diretamente à maneira
através da qual as células de memória flash são usadas, mais especificamente em relação
ao número de ciclos de escrita a que são submetidos cada bloco. Blocos individuais dentro
Figura 2. Uma representação em corte transversal de uma célula de memória
floating gate MOSFET [Olson and Langlois 2008]
do SSD só podem ser escritos cerca de 10000-100000 vezes antes que eles corram sério
risco de falhar [Olson and Langlois 2008].
3. Trabalhos Relacionados
Em geral, sistemas de armazenamento mantêm uma tabela de arquivos separada do espaço
de armazenamento, essa tabela fornece a informação para localizar os dados na unidade.
Para apagar um arquivo, em um processo tı́pico é necessário apenas remover a sua entrada
na tabela, removendo a entrada perde-se o vı́nculo com os dados. Pesquisadores descobriram que os dados ainda permanecem no local após a remoção da ligação e é possı́vel
recuperar grande parte ou todo o conteúdo do arquivo apagado. Nesta seção, são mencionadas algumas pesquisas as quais investigam os dados residuais e sua recuperação.
Peter Gutmann em uma pesquisa de 2001 [Gutmann 2001] realiza uma análise
de problemas de remanescência de dados, conclui-se que esses problemas afetam não só
RAM e células de memória não volátil, mas também podem ocorrer em dispositivos projetados para propósitos especı́ficos. Gutmann considera que os dados armazenados podem
deixar os seguintes vestı́gios de sua existência: tensão elétrica em elementos usados na
dopagem dos semicondutores, hot-carrier effects e efeitos de eletromigração.
Em Skorobogatov [Skorobogatov 2005] é realizada uma análise da forma de armazenamento de dados em dispositivos de memória semicondutora, discute-se nesse trabalho o que ocorre após as operações de apagamento. Para o autor, vários dispositivos
de segurança como microcontroladores e smartcards com memória EEPROM/Flash assumem que a informação da memória desaparece por completo depois de uma operação
de apagamento, essa crença pode comprometer a segurança do sistema uma vez que em
muitos casos dados podem ser extraı́dos mesmo após essa memória semicondutora ter
passado pelo processo de apagamento.
Em [Antonellis 2008] e [Olson and Langlois 2008] são mencionadas vantagens
competitivas de SSDs em relação aos HDDs, como: altas taxas de transferência de dados,
baixo tempo de acesso, maior tolerância a choques fı́sicos e vibrações, consumo reduzido
de energia. Antonellis [Antonellis 2008] faz um experimento prático no qual ele não foi
capaz de recuperar informação útil com as ferramentas existentes e adverte que SSDs
impõem dificuldades para a área forense que precisam ser enfrentadas.
Bell e Boddington [Bell and Boddington 2010] mostram que unidades de estado
sólido têm a capacidade de destruir provas (dados) mesmo na ausência de instruções especı́ficas de um computador para fazê-lo. A principal discussão gerada é sobre o uso de
dados recuperados em uma unidade de estado sólido como uma prova digital no tribunal, porque qualquer perda de conteúdo ou alteração pode prejudicar a admissibilidade
da prova e diminuir o valor probatório. SSDs têm procedimentos internos que podem
contaminar as provas de forma imprevisı́vel, esse comportamento dificulta a validação de
provas e prejudica a credibilidade dos dados recuperados. Bell e Boddington fazem uma
previsão sombria: “parece possı́vel que a idade de ouro para a recuperação, análise de
dados e metadados excluı́dos tenha chegado ao fim ”.
Nisbet e outros [Nisbet et al. 2013] realizam análise forense em unidades de estado
sólido não só analisando os algoritmos wear leveling e garbage collection, mas também
comparando com outros SSDs que além de wear leveling e garbage collection funcionam
em conjunto com sistemas de arquivos capazes de enviar aos SSDs a instrução TRIM. As
conclusões desse trabalho levam a crer que discos e sistemas operacionais com a instrução
TRIM habilitada deixarão muito menos dados para investigadores forenses do que esses
mesmos discos e sistemas sem TRIM habilitado.
Dois trabalhos mais recentes [Gubanov and Afonin 2014] e [Bonetti et al. 2014]
apresentam conclusões semelhantes, para eles os SSDs têm implementações diferentes
a depender do fornecedor e, devido a isso cada SSD age de forma diferente. Em muitas situações unidades de estado sólido podem tornar difı́cil recuperar arquivos apagados,
mas há inúmeras exceções que permitem aos especialistas recuperar arquivos aparentemente apagados. Algumas combinações de controladores SSD, SO, sistemas de arquivos
e outras caracterı́sticas podem influenciar profundamente na quantidade de informações
que podem ser recuperadas.
4. Metodologia da Pesquisa
A parte experimental desta pesquisa consiste de um SSD que já foi usado por um tempo
e foi formatado. Faz-se mister ressaltar que não é relevante nesta pesquisa o sistema
operacional nem o sistema de arquivos no qual os dados estavam armazenados antes do
processo de formatação, o foco está na recuperação de arquivos. Trabalhos futuros poderão especificar melhor o ambiente no que diz respeito ao SO e ao sistema de arquivos,
além de avaliar como eles influenciam no processo de recuperação.
Foi utilizado um SSD da marca ADATA, modelo Premier SP800 - 32GB. Esse
SSD possui: suporte ao comando TRIM; controlador de memória Sand Force SF-1222;
interface SATA 3Gb/s.
Antes dos experimentos, o SSD era usado por um usuário doméstico tı́pico, cujas
aplicações incluem: reprodutor de áudio e vı́deo, navegador web, e-mail e pacote de
escritório
Sabe-se que em um processo judicial os dados recuperados podem ser usados
como prova para demonstrar a verdade. A admissibilidade de arquivos recuperados depende das qualidades percebidas pelo juiz ou pelos jurados. Giuliano Giova [Giova 2011]
considera que a prova digital não pode ser admitida sem uma cadeia de custódia, porque
geralmente essa prova fica longe da percepção sensorial. Nesta pesquisa deseja-se saber
se remanescência de dados é um problema em SSD, porém não é relevante neste momento
saber a finalidade que será dada aos dados, é relevante saber se é possı́vel encontrar dados
e recuperá-los.
4.1. Geração da Imagem
O Linux tem a vantagem de possuir ferramentas livres que permitem fazer a captura da
imagem. No Windows, uma das ferramentas de imagem mais populares é o FTK Imager
(Forensic Tool Kits). Nesse passo foram utilizados três softwares diferentes, dois deles
são ferramentas do Linux, o último é um software do Windows, com cada um desses
softwares foi criada uma imagem forense. Os softwares utilizados para criar a imagem
forense são:
1. FTK Imager 3.2.0 (Windows 64 bits) - é uma ferramenta de imagem de disco
gratuita, fornecida pela AccessData;
2. dcfldd (dcfldd) 1.3.4-1 (Kali Linux 32 bits) - é uma versão melhorada do GNU
dd com vários aprimoramentos forenses, desenvolvida por Nicholas Harbour que
trabalhava para o Department of Defense Computer Forensic Lab;
3. dc3dd (dc3dd) 7.1.614 (Kali Linux 32 bits) - é uma outra versão melhorada do
programa GNU dd existente. É desenvolvida e mantida pelo US Department of
Defense Cyber Crime Centre. A maioria dos recursos foi inspirada no software
dcfldd e modificada para o dc3dd.
4.2. Recuperação de Dados
O segundo passo para investigar a presença de dados residuais é o processo chamado de
recuperação de dados. Nessa etapa o objetivo é recuperar os dados que foram perdidos,
corrompidos, apagados ou tornados inacessı́veis por qualquer motivo.
Neste passo, foram utilizadas as imagens geradas na etapa anterior, a elas foram
aplicadas softwares de recuperação de dados. Os softwares utilizados foram: Foremost,
Scalpel, Magic Rescue, Photorec e Recoverjpeg.
Não está no escopo deste trabalho avaliar a capacidade dos softwares de geração
de imagem (Subseção 4.1) também não está no escopo avaliar os softwares de recuperação
de dados. É suficiente, para atingir o objetivo de recuperar dados, conseguir encontrar e
recuperar dados válidos com qualquer combinação de softwares de geração de imagem e
de recuperação de dados.
5. Resultados e discussões
Devido a achados de trabalhos anteriores, esperava-se encontrar arquivos contendo “00s”
na visualização em hexadecimal conforme mencionado por Antonellis em [Antonellis
2008] ou uma taxa muito baixa de recuperação de dados. Isso demonstraria que dados
após apagados são praticamente irrecuperáveis, isso seria trágico para o trabalho forense
ou de recuperação de dados. Sabe-se com base no trabalho de Skorobogatov [Skorobogatov 2005] que dispositivos de memória com floating gate possuem problemas de remanescência de dados e que, até mesmo depois de uma operação de apagamento, o transistor
não retorna totalmente ao seu estado inicial. Há um método para leitura do conteúdo do
chip NAND de forma direta ignorando algumas camadas, esse método é conhecido como
aquisição de caixa-branca. Entretanto ele é caro e nem sempre é viável.
Esta pesquisa utiliza uma abordagem conhecida como caixa-preta (lê os dados tal
como apresentados pelo controlador de memória SSD) que é um método mais conveniente, barato e fácil de executar. No entanto, há trabalhos que obtêm resultados extremamente insatisfatórios com essa metodologia, um exemplo que pode ser mencionado é a
pesquisa de Bell e Boddington [Bell and Boddington 2010]. Eles são malsucedidos em
sua intenção de recuperar dados a partir de unidades de estado sólido.
Apesar de haver artigos que descrevem unidades de estado sólido como capazes
de destruir provas catastroficamente, nesta pesquisa os resultados obtidos contradizem
[Antonellis 2008] e [Bell and Boddington 2010] e o objetivo de encontrar e recuperar
dados é alcançado.
A metodologia foi aplicada em uma unidade que era usada em um computador com tarefas tı́picas de um usuário doméstico, incluindo a criação de documentos,
navegação web, música. Depois de certo tempo um comando de formatação rápida foi
executado, o sistema operacional supostamente enviou comando ao SSD de que toda a
unidade poderia ser “zerada”. O SSD utilizado possui suporte ao comando TRIM que é
utilizado para otimizar o desempenho da unidade, mas é útil também como ferramenta
anti-forense [Nisbet et al. 2013]. Com esses procedimentos espera-se que os blocos do
drive sejam inteiramente apagados em questão de segundos [Nisbet et al. 2013].
Os primeiros procedimentos tomados foram as execuções de cada um dos softwares voltados para geração de imagens forenses mencionados na Subseção 4.1, com isso
foram obtidas três imagens distintas:
1. Com o FTK Imager 3.2.0 - arquivo de 1.535.888 KB;
2. Com o dcfldd (dcfldd) 1.3.4-1 - arquivo de 16.035.748 KB;
3. Com o dc3dd (dc3dd) 7.1.614 - arquivo de 31.263.744 KB.
A segunda etapa (Subseção 4.2) obtém o resultado final, ou seja, permite saber
se é possı́vel restaurar arquivos a partir das imagens forenses geradas na etapa anterior.
Com o desfecho da segunda etapa, chega-se ao principal objetivo do trabalho, o qual é
responder à seguinte pergunta: É possı́vel recuperar dados apagados em SSD?
A dúvida é pertinente porque SSD tem algumas caracterı́sticas que podem destruir
todos os dados residuais sem intervenção do usuário.
Ferramentas para recuperação de dados são usadas quando se deseja recuperar
pastas e arquivos apagados ou para recuperar dados de mı́dias danificadas. Nesta pesquisa, todos os softwares utilizados foram mencionados no inı́cio na Subseção 4.2 e houve
recuperação bem sucedida de dados a partir da imagem criada do SSD.
Com todos os softwares empregados houve recuperação de muitos arquivos: imagens (*.jpg, *.bmp, *.gif, *.png), vı́deos (*.avi, *.mpg), documentos (*.pdf, *.doc) e outros arquivos (*.java, *.sys, *.dll).
Testes realizados nesta pesquisa demonstram que os arquivos, aparentemente eliminados após a formatação, puderam ser recuperados. Depois da formatação o SSD
parece estar completamente vazio, mas diferentemente de resultados obtidos em pesquisas anteriores [Antonellis 2008] [Bell and Boddington 2010], foram restaurados arquivos tı́picos, como documentos e figuras a partir da imagem forense gerada a partir desse
SSD formatado. Foi analisado um cenário em que um SSD passou por um processo de
formatação, a partir do SSD formatado foram geradas três imagens forenses com três diferentes ferramentas (FTK Imager, DCFLDD, DC3DD), a partir das três imagens foram
utilizados cinco softwares de recuperação de dados (Foremost, Scalpel, Magic Rescue,
PhotoRec, Recoverjpeg) para otimizar a chance de recuperação de informações válidas.
Muitas pesquisas indicam que SSDs não podem ser tratados como HDDs convencionais, mas é possı́vel recuperar os dados residuais, mesmo depois da formatação dessa
unidade. Devido ao extenso tempo de uso da tecnologia de discos rı́gidos magnéticos
há ferramentas padronizadas e técnicas bem conhecidas desenvolvidas para recuperar dados apagados. No caso de unidades de estado sólido também há dados remanescentes e
mesmo com mecanismos especı́ficos que podem destruir dados, ficou demonstrado que
algumas informações podem ser recuperadas ainda que utilizando as ferramentas já disponı́veis para recuperação de dados em HDDs.
Há diferentes controladores, e, portanto, alguns SSDs agem de forma diferente.
[Bonetti et al. 2014] mostra que a combinação de controlador, sistema de arquivos, sistema operacional e até mesmo o uso do SSD podem influenciar profundamente na quantidade de informações que podem ser recuperadas.
6. Conclusão e Trabalhos Futuros
Esta pesquisa identificou que no caso analisado (SSD depois de formatação da unidade)
métodos de aquisição disponı́veis para HDDs são úteis, isso significa que é possı́vel recuperar uma grande quantidade de dados de SSD após a formatação do drive.
Além disso, nesta pesquisa é demonstrado que os dados residuais podem ser recuperados com ferramentas já existentes e podem ser utilizados em um eventual litı́gio,
ainda que exista muita incerteza circundando a tecnologia SSD, incertezas essas que podem dificultar a admissibilidade de provas obtidas nesses dispositivos.
O SSD realiza periodicamente apagamento de dados sem a interferência de
usuários, esse comportamento é atribuı́do a mecanismos internos do controlador de
memória SSD cujo propósito é fornecer um melhor desempenho e uma vida útil superior. Mesmo com mecanismos que podem eliminar os dados armazenados há situações
que podem formar um ambiente propı́cio e permitir uma alta taxa de recuperação. Os atuais métodos de aquisição são menos eficazes para SSDs do que para HDDs, a recuperação
é incerta e os resultados ainda imprevisı́veis. Contrariando a literatura, este trabalho demonstra com um caso prático que é possı́vel recuperar dados de um SSD após um procedimento de formatação empregando ferramentas já existentes e desenvolvidas para a
recuperação de dados em HDDs.
Como trabalhos futuros, pretende-se encontrar elementos que possam determinar se é as implementações proprietárias realizadas em cada controlador de memória
agem de forma determinante para a dificuldade de recuperação de dados. Com novas
pesquisas será possı́vel descobrir se a destruição de dados é uma caracterı́stica inerente da
implementação de alguns controladores e especificar quais controladores de fato destroem
os dados através de processos internos.
Outro trabalho futuro relevante diz respeito a estabelecer procedimentos padronizados para melhorar a admissibilidade das provas coletadas de um SSD em um tribunal.
Referências
Antonellis, C. J. (2008). Solid state disks and computer forensics. ISSA Journal, pages
36–38.
Bell, G. B. and Boddington, R. (2010). Solid state drives: The beginning of the end for
current practice in digital forensic recovery? Journal of Digital Forensics, Security
and Law, 5(3):1–20.
Bonetti, G., Viglione, M., Frossi, A., Maggi, F., and Zanero, S. (2014). Black-box forensic
and antiforensic characteristics of solid-state drives. Journal of Computer Virology and
Hacking Techniques, 10(4):255–271.
Brown, W. D. and Brewer, J. E. (1998). Nonvolatile semiconductor memory technology: a
comprehensive guide to understanding and to using NVSM devices. Wiley-IEEE Press.
Giova, G. (2011). Improving chain of custody in forensic investigation of electronic
digital systems. International Journal of Computer Science and Network Security,
11(1):1–9.
Gubanov, Y. and Afonin, O. (2014). Recovering evidence from ssd drives: Understanding trim, garbage collection and exclusions. http://ru.belkasoft.com/
download/info/SSD%20Forensics%202014.pdf.
Gutmann, P. (2001). Data remanence in semiconductor devices. In Proceedings of the
10th conference on USENIX Security Symposium-Volume 10, page 4. USENIX Association.
Intel, C. (2010).
Intel® solid-state drives:
An introduction.
http:
//www.intel.com/content/www/us/en/solid-state-drives/
intel-solid-state-drives-an-introduction.html.
Marks,
H.
(2015).
No
SSD-HDD
Price
Parity
Before
2020.
http://www.networkcomputing.com/storage/
no-ssd-hdd-price-parity-before-2020/a/d-id/1320995.
Micheloni, R. and Eshghi, K. (2013). Ssd architecture and pci express interface. In Inside
Solid State Drives (SSDs), pages 19–45. Springer.
Nisbet, A., Lawrence, S., and Ruff, M. (2013). A forensic analysis and comparison of
solid state drive data retention with trim enabled file systems. In Proceedings of the
11th Australian Digital Forensics Conference. SRI Security Research Institute, Edith
Cowan University, Perth, Western Australia.
Olson, A. R. and Langlois, D. J. (2008). Solid state drives data reliability and lifetime.
Imation White Paper.
O’Reilly, J. (2015). SSD Prices In A Free Fall. http://www.networkcomputing.
com/storage/ssd-prices-in-a-free-fall/a/d-id/1320958.
Patrizio, A. (2015). Sandisk jumps into enterprise ssd market. ITworld.
Perdue, K. (2008). Wear leveling. Spansion Application Note (Wear Leveling AN 01).
Skorobogatov, S. (2005). Data remanence in flash memory devices. In Cryptographic
Hardware and Embedded Systems–CHES 2005, pages 339–353. Springer.
Download

Após um processo de formatação, é possível recuperar dados em