Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:zc54067 [2026/01/11 17:17]
Zrinka Cvitanović [TRIM] 		racfor_wiki:seminari2025:zc54067 [2026/01/22 16:13] (trenutno)
Zrinka Cvitanović [TRIM]
Redak 6: Redak 6:
 SSD (engl. //Solid State Disk//) već se dugo koristi kao zamjena na HDD. Dakle, ima identično sučelje prema računalu kao i HDD, što znači da računalo nije svjesno koristi li SSD ili HDD. Novitet koji je SSD uveo je ukidanje pomičnih dijelova. HDD sastoji se od magnetskih ploča, a čitanje i pisanje radi se pomicanjem tzv. glave za čitanje i pisanje. Glava se ne može pomicati sama, već ona stoji na mjestu, a ploča se rotira. SSD uvodi tzv. //solid state// memoriju, što znači da ne postoje pomični dijelovi u disku. [1] SSD (engl. //Solid State Disk//) već se dugo koristi kao zamjena na HDD. Dakle, ima identično sučelje prema računalu kao i HDD, što znači da računalo nije svjesno koristi li SSD ili HDD. Novitet koji je SSD uveo je ukidanje pomičnih dijelova. HDD sastoji se od magnetskih ploča, a čitanje i pisanje radi se pomicanjem tzv. glave za čitanje i pisanje. Glava se ne može pomicati sama, već ona stoji na mjestu, a ploča se rotira. SSD uvodi tzv. //solid state// memoriju, što znači da ne postoje pomični dijelovi u disku. [1]
  
-Iako je u suštini SSD prilično sličan HDD-u, njegova je forenzika složenija. Ovaj seminar opisat će neke od specifičnosti SSD-a zbog kojih se postupak njegove forenzičke obrade komplicira.+Iako je u suštini SSD prilično sličan HDD-u, njegova je forenzika složenija. Ovaj seminar opisat će neke od specifičnosti SSD-a zbog kojih se postupak njegove forenzičke analize komplicira.
  
 ===== Uvod ===== ===== Uvod =====
Redak 48: Redak 48:
 **Dinamička radna memorija** (engl. DRAM, //Direct Random Access Memory//) koristi kondenzatore za pohranu. Preciznije, za pohranu jednog bita koristi jedan tranzistor i jedan kondenzator. Kondenzator drži informaciju tako što čuva električni naboj koji se u njega pohrani. Kad je kondenzator napunjen, na krajevima postoji napon, a čitanje tog napona ga prazni. Tranzistor služi za čitanje pohranjene vrijednosti ili pisanje nove. [1] **Dinamička radna memorija** (engl. DRAM, //Direct Random Access Memory//) koristi kondenzatore za pohranu. Preciznije, za pohranu jednog bita koristi jedan tranzistor i jedan kondenzator. Kondenzator drži informaciju tako što čuva električni naboj koji se u njega pohrani. Kad je kondenzator napunjen, na krajevima postoji napon, a čitanje tog napona ga prazni. Tranzistor služi za čitanje pohranjene vrijednosti ili pisanje nove. [1]
  
-Ako se dugo ne koriste, kondenzatori se znaju isprazniti i time podatak koji čuvaju nestane. Zato je potrebno periodičko osvježavanje ili punjenje memorije. Ponovno punjenje kondenzatora se najjednostavnije radi čitanjem. Postoji sklopovlje koje periodički čita cijelu memoriju kako bi se osiguralo da se niti jedan kondenzator nije ispraznio od nekorištenja[1]+Ako se dugo ne koriste, kondenzatori se znaju isprazniti i time podatak koji čuvaju nestane. Zato je potrebno periodičko osvježavanje ili punjenje memorije. Ponovno punjenje kondenzatora se najjednostavnije radi čitanjem. Postoji sklopovlje koje periodički čita cijelu memoriju kako bi se osiguralo da se niti jedan kondenzator nije ispraznio od nekorištenja[1]
  
-No, kao što je rečeno, čitanje podatka iz kondenzatora ga prazni, stoga ga je potrebno ponovno napuniti. Zato se periodičko čitanje odrađuje sklopom koji pročita kondenzator i odmah upiše u njega pročitanu vrijednost (tzv. sklop //čitaj-pa-piši//). Tijekom osvježavanja, memorija nije dostupna, stoga se ono radi u protutaktu u odnosu na takt memorije. No, ti ciklusi osvježavanja svejedno usporavaju rad memorije i zato je DRAM osjetno sporiji od SRAM-a. Usprkos tome, DRAM se koristi kao primarna radna memorija u računalu radi značajno manje cijene i veće gustoće pohrane od SRAM-a. [5]+No, kao što je rečeno, čitanje podatka prazni kondenzator, stoga ga je potrebno ponovno napuniti. Zato se periodičko čitanje odrađuje sklopom koji pročita kondenzator i odmah upiše u njega pročitanu vrijednost (tzv. sklop //čitaj-pa-piši//). Tijekom osvježavanja, memorija nije dostupna, stoga se ono radi u protutaktu u odnosu na memoriju. No, ti ciklusi osvježavanja svejedno usporavaju rad memorije i zato je DRAM osjetno sporiji od SRAM-a. Usprkos tome, DRAM se koristi kao primarna radna memorija u računalu radi značajno manje cijene i veće gustoće pohrane od SRAM-a. [5]
  
 ==== FLASH memorija ==== ==== FLASH memorija ====
  
  
-SSD koristi tzv. FLASH memoriju. Kao što joj naziv kaže, ona služi za brzu pohranu i dohvat podataka. FLASH memorija je vrsta **EEPROM** (engl. //Electronically Erasable Programmable Read Only Memory//) čipa.+SSD koristi tzv. FLASH memoriju. FLASH memorija je vrsta **EEPROM** (engl. //Electronically Erasable Programmable Read Only Memory//) čipa.
  
-Ćelije su posložene u mrežu koja se zove **memorijsko polje**. To znači da su ćelije poredane u pravilne retke i stupce. Na svaki redak spojen je tzv. //word line// koji služi za odabir reda koji će se čitati. Postoji i //bit line// koji je spojen na tranzistor. On služi za pisanje podataka u ćeliju ili čitanje podatka iz ćelije.+Ćelije su posložene u mrežu koja se zove **memorijsko polje**. To znači da su ćelije poredane u pravilne retke i stupce. Na svaki redak spojen je tzv. //word line// koji služi za odabir retka koji će se čitati. Postoji i //bit line// koji je spojen na tranzistor. On služi za pisanje podataka u ćeliju ili čitanje podatka iz ćelije.
  
 Ćelija FLASH memorije ima sličnu građu kao i FET tranzistor, samo što se //gate// sastoji od više dijelova: Ćelija FLASH memorije ima sličnu građu kao i FET tranzistor, samo što se //gate// sastoji od više dijelova:
  
-  * //Control gate//+  * //control gate//
   * oksidativni sloj   * oksidativni sloj
-  * //Floating gate//+  * //floating gate//
  
-//Source// i //drain// povezani su kanalom a ispod svega nalaze se n-supstrat i p-supstrat. Slojevi oksida oko //floating gate-a// omogućuju perzistenciju memorije ako ostane bez napajanja. Građa ćelije prikazana je na **slici 3.** [6]+//Source// i //drain// povezani su kanalom a ispod svega nalaze se n-supstrat i p-supstrat. Slojevi oksida oko //floating gatea// omogućuju perzistenciju memorije ako ostane bez napajanja. Građa ćelije prikazana je na **slici 3.** [6]
  
 {{ :racfor_wiki:seminari2025:flash-cell.png?400 |}} {{ :racfor_wiki:seminari2025:flash-cell.png?400 |}}
Redak 72: Redak 72:
 Slika 3. Građa FLASH ćelije [6] Slika 3. Građa FLASH ćelije [6]
  
-Upisivanje podatka u ćeliju radi se dovođenjem visokog napona na //control gate//. Tada elektroni prođu kroz oksidativni sloj do floating gate. Taj proces naziva se **tuneliranje**. Ako su elektroni prisutni na //floating gate-u//, tada se promijeni napon koji je potreban da se upali odgovarajući tranzistor. Ako je ćelija prazna, nema elektrona na gateu, i tada će tranzistor biti upaljen, što se interpretira kao 1. Ispunjena ćelija radi promjene potrebnog napona neće biti upaljena i to će interpretirati kao 0. [6]+Upisivanje podatka u ćeliju radi se dovođenjem visokog napona na //control gate//. Tada elektroni prođu kroz oksidativni sloj do //floating gatea//. Taj proces naziva se **tuneliranje**. Ako su elektroni prisutni na //floating gateu//, tada se promijeni napon koji je potreban da se upali odgovarajući tranzistor. Ako je ćelija prazna, nema elektrona na //gateu//, i tada će tranzistor biti upaljen, što se interpretira kao 1. Ispunjena ćelija radi promjene potrebnog napona neće biti upaljena i to će interpretirati kao 0. [6]
  
 Brisanje podatka radi se dovođenjem visokog negativnog napona kako bi se elektroni izbili iz //gatea//. [6] Brisanje podatka radi se dovođenjem visokog negativnog napona kako bi se elektroni izbili iz //gatea//. [6]
  
-Dvije vrste FLASH memorije su NOR i NAND ćelije. U oba slučaja ćelije su posložene u memorijsko polje, ali je razlika u načinu njihova spajanja.+Dvije vrste FLASH memorije su NOR i NAND ćelije. U oba slučaja ćelije su posložene u memorijsko polje, ali postoji razlika u načinu njihova spajanja.
  
 **NOR memorija** ima paralelno spojene ćelije, što joj omogućuje brže čitanje i pisanje. Također, dugovječnija je i omogućuje pisanje jednog po jednog bita. No, paralelno spajanje čini sklop složenijim i zahtijeva više prostora, što rezultira manjim kapacitetom i većom cijenom. Zato se koristi samo za specifične primjene poput BIOS-a, spremanja konfiguracija i sl. **NOR memorija** ima paralelno spojene ćelije, što joj omogućuje brže čitanje i pisanje. Također, dugovječnija je i omogućuje pisanje jednog po jednog bita. No, paralelno spajanje čini sklop složenijim i zahtijeva više prostora, što rezultira manjim kapacitetom i većom cijenom. Zato se koristi samo za specifične primjene poput BIOS-a, spremanja konfiguracija i sl.
Redak 82: Redak 82:
 **NAND memorija** ima serijski spojene ćelije. Češće se koristi za pohranu podataka jer je većeg kapaciteta i manje cijene. Veći kapacitet se ostvaruje gušćim slaganjem ćelija u mreži, što je moguće jer nema toliko žica kao u paralelnom spajanju. Njezini nedostatci su što svaka memorijska lokacija ima ograničen broj ciklusa pisanja i čitanja te se prije svakog pisanja memorijska lokacija mora obrisati. Također, podržava samo blokovsko pisanje. [6] **NAND memorija** ima serijski spojene ćelije. Češće se koristi za pohranu podataka jer je većeg kapaciteta i manje cijene. Veći kapacitet se ostvaruje gušćim slaganjem ćelija u mreži, što je moguće jer nema toliko žica kao u paralelnom spajanju. Njezini nedostatci su što svaka memorijska lokacija ima ograničen broj ciklusa pisanja i čitanja te se prije svakog pisanja memorijska lokacija mora obrisati. Također, podržava samo blokovsko pisanje. [6]
  
-Memorija na HDD-u organizirana je u sektore. FLASH memorija prati sličan princip. Ona organizira memorijske ćelije u **stranice** (engl. //page//), a stranice su organizirane u **blokove**. Stranice tipično imaju oko 16 kB, a blokovi 8 MB, što znači da jedan blok ima mnogo stranica. [1]+Memorija na HDD-u organizirana je u sektore. FLASH memorija ima sličan pristup. Ona organizira memorijske ćelije u **stranice** (engl. //page//), a stranice su organizirane u **blokove**. Stranice tipično imaju oko 16 kB, a blokovi 8 MB, što znači da jedan blok ima mnogo stranica. [1]
  
 ===== Princip rada SSD-a ===== ===== Princip rada SSD-a =====
Redak 119: Redak 119:
   * //Non-deterministic TRIM//   * //Non-deterministic TRIM//
     * **nije definirano** što će korisnik dobiti     * **nije definirano** što će korisnik dobiti
-  * //Deterministic Read After TRIM(DRAT)//+  * //Deterministic Read After TRIM (DRAT)//
     * uvijek će se vratiti **unaprijed zadana vrijednost**     * uvijek će se vratiti **unaprijed zadana vrijednost**
   * //Deterministic Zeros After TRIM* (DZAT)//   * //Deterministic Zeros After TRIM* (DZAT)//
Redak 128: Redak 128:
 Razlika u brisanju između običnog SSD-a i onog koji podržava TRIM prikazana je na **slikama 5 i 6.** Razlika u brisanju između običnog SSD-a i onog koji podržava TRIM prikazana je na **slikama 5 i 6.**
  
-{{:racfor_wiki:seminari2025:delete-no-trim.png?800|}}+{{:racfor_wiki:seminari2025:delete-no-trim.png?600|}}
  
 Slika 5. Brisanje korištenjem GC Slika 5. Brisanje korištenjem GC
  
-{{:racfor_wiki:seminari2025:delete-trim.png?800|}}+{{:racfor_wiki:seminari2025:delete-trim.png?600|}}
  
 Slika 6. Brisanje korištenjem GC i TRIM Slika 6. Brisanje korištenjem GC i TRIM
Redak 143: Redak 143:
 Ipak, može se probati nekoliko metoda za izvlačenje podataka sa SSD-a. Jedna od metoda je **chip-off**. Kao što joj naziv kaže, memorija se čita izravno s čipova. Ta je metoda vrlo agresivna i često se koristi tek kao posljednje rješenje ako ništa drugo nije moguće. Chip-off vrlo je rizičan jer može dovesti do nepovratnog oštećenja podataka. [1] Ipak, može se probati nekoliko metoda za izvlačenje podataka sa SSD-a. Jedna od metoda je **chip-off**. Kao što joj naziv kaže, memorija se čita izravno s čipova. Ta je metoda vrlo agresivna i često se koristi tek kao posljednje rješenje ako ništa drugo nije moguće. Chip-off vrlo je rizičan jer može dovesti do nepovratnog oštećenja podataka. [1]
  
-Zato se u praksi češće koristi **tvornički način** (engl. Factory Access Mode). On omogućuje izravan pristup informacijama u NAND čipovima. To uključuje sirove podatke iz fizičkih blokova i kriptirane podatke. Tvornički način također može zaustaviti proces prikupljanja smeća i time dati više vremena za povrat podataka. Problem je što ne postoje standardizirani procesi prebacivanja u tvornički način i dostupnih naredbi unutar njega. Osim što se razlikuje od jednog do drugog diska, često uopće nije dokumentiran. [1]+Zato se u praksi češće koristi **tvornički način** (engl. //Factory Access Mode//). On omogućuje izravan pristup informacijama u NAND čipovima. To uključuje sirove podatke iz fizičkih blokova i kriptirane podatke. Tvornički način također može zaustaviti proces prikupljanja smeća i time dati više vremena za povrat podataka. Problem je što ne postoje standardizirani procesi prebacivanja u tvornički način i dostupnih naredbi unutar njega. Osim što se razlikuje od jednog do drugog diska, često uopće nije dokumentiran. [1]
  
-Niti TRIM niti proces skupljanja smeća načelno se ne mogu zaustaviti. To može raditi problem u rješavanju forenzičkih slučajeva. U forenzičkoj istrazi prije rada s nekim diskom ili računalom mora se uzeti njegova slika (engl. *image*). To znači da se disk spoji na računalo i da se svi podatci s njega prebace na računalo ili na neki drugi disk. Budući da su operacije prikupljanja smeća i TRIM-a relativno brze, a uzimanje slike relativno sporo, moguće je da se neki podatci obrišu prije nego što su zapisani u sliku. Slike diska najčešće se uzimaju na terenu, a ne tek kad dokaz stigne do laboratorija, međutim i u tom slučaju može proći previše vremena. [9]+Niti TRIM niti proces skupljanja smeća načelno se ne mogu zaustaviti. To može raditi problem u rješavanju forenzičkih slučajeva. U forenzičkoj istrazi prije rada s nekim diskom ili računalom mora se uzeti njegova slika (engl. //image//). To znači da se disk spoji na neko računalo i da se svi podatci s njega prebace na to računalo ili na neki drugi disk. Budući da su operacije prikupljanja smeća i TRIM-a relativno brze, a uzimanje slike relativno sporo, moguće je da se neki podatci obrišu prije nego što su zapisani u sliku. Slike diska najčešće se uzimaju na terenu, a ne tek kad dokaz stigne do laboratorija, međutim i u tom slučaju može proći previše vremena. [9]
  
 Jedini način kako se TRIM i GC mogu zaustaviti je tako da se kontroler odvoji od ostatka SSD-a. Međutim, to se načelno ne radi jer tada pristup podatcima postaje iznimno složen. Podatci su zapisani u nasumičnim stranicama i kontroler jedini zna gdje je fizički mapirana svaka logička adresa. Također, bilo kakvo diranje hardvera može dovesti do oštećenja podataka. Ne postoji neko rješenje koje se univerzalno koristi, nego eventualno neki prototipovi. Jedan primjer takvog rješenja je uređaj koji su napravili znanstvenici iz Sveučilišta u Kaliforniji. Prikazan je niže na **slici 7.** Nije pokazano radi li i, ako da, može li spasiti podatke koje je proces prikupljanja smeća obrisao. [9] Jedini način kako se TRIM i GC mogu zaustaviti je tako da se kontroler odvoji od ostatka SSD-a. Međutim, to se načelno ne radi jer tada pristup podatcima postaje iznimno složen. Podatci su zapisani u nasumičnim stranicama i kontroler jedini zna gdje je fizički mapirana svaka logička adresa. Također, bilo kakvo diranje hardvera može dovesti do oštećenja podataka. Ne postoji neko rješenje koje se univerzalno koristi, nego eventualno neki prototipovi. Jedan primjer takvog rješenja je uređaj koji su napravili znanstvenici iz Sveučilišta u Kaliforniji. Prikazan je niže na **slici 7.** Nije pokazano radi li i, ako da, može li spasiti podatke koje je proces prikupljanja smeća obrisao. [9]
Redak 153: Redak 153:
 Slika 7. Prototip hardvera koji bi mogao oporaviti obrisane podatke sa SSD-a [9] Slika 7. Prototip hardvera koji bi mogao oporaviti obrisane podatke sa SSD-a [9]
  
-Izvor: https://belkasoft.com/why-ssd-destroy-court-evidence 
  
-==== Zaštita podataka u SSD-u ====+===== Zaštita podataka u SSD-u =====
  
  
Redak 180: Redak 179:
  
  
-[1] Predavanja iz kolegija //Računalna forenzika, SSD forenzika://+[1] Predavanja iz kolegija Računalna forenzika, //SSD forenzika//https://www.fer.unizg.hr/predmet/racfor/materijali#%23!p_rep_142274!_-135668-228983
  
-https://www.fer.unizg.hr/predmet/racfor/materijali#%23!p_rep_142274!_-135668-228983+[2] FET Transistor - GeeksforGeeks: https://www.geeksforgeeks.org/electrical-engineering/fet-transistor/
  
-[2] https://www.geeksforgeeks.org/electrical-engineering/fet-transistor/+[3Field-effect transistor - Wikipedia: https://en.wikipedia.org/wiki/Field-effect_transistor
  
-[3] https://en.wikipedia.org/wiki/Field-effect_transistor+[4FET-Field Effect Transistors,Types of FET-n-channel FET, p-channel FET: https://circuitstoday.com/fet-field-effect-transistors-introduction
  
-[4] https://circuitstoday.com/fet-field-effect-transistors-introduction+[5What is Identity and Access Management? Guide to IAM: https://www.techtarget.com/whatis/definition/SRAM-static-random-access-memory
  
-[5] https://www.techtarget.com/whatis/definition/SRAM-static-random-access-memory+[6Understanding Flash memory ...: https://www.eenewseurope.com/en/understanding-flash-memory/
  
-[6] https://www.eenewseurope.com/en/understanding-flash-memory/+[7How Do SSDs Work? | Extremetech: https://www.extremetech.com/computing/how-do-ssds-work
  
-[7] https://www.extremetech.com/computing/how-do-ssds-work+[8Garbage Collection and TRIM in SSDs Explained - An SSD Primer | The SSD Review: https://www.thessdreview.com/daily-news/latest-buzz/garbage-collection-and-trim-in-ssds-explained-an-ssd-primer/2/
  
-[8https://www.thessdreview.com/daily-news/latest-buzz/garbage-collection-and-trim-in-ssds-explained-an-ssd-primer/2/ +[9Why SSD Drives Destroy Court Evidence, and What Can Be Done About It: https://belkasoft.com/why-ssd-destroy-court-evidence
- +
-[9] https://belkasoft.com/why-ssd-destroy-court-evidence+
  
  
  
racfor_wiki/seminari2025/zc54067.1768151852.txt.gz · Zadnja izmjena: 2026/01/11 17:17 od Zrinka Cvitanović
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0