A FORENSE COMPUTACIONAL E OS   DISCOS DE ESTADO SÓLIDO
Introdução• Discos de estado sólido e o  cenário atual• Forense computacional• Objetivo do artigo                         ...
Conceitos Básicos• SDRAM     ( Synchronous dynamic random access memory )  – Alto desempenho  – Necessitam alimentação    ...
Conceitos Básicos• Flash RAM  – Tipos    • Not OR ( NOR )       – Similar à RAM       – Usada em BIOS e firmwares    • Not...
Conceitos Básicos• Flash RAM  – Principais diferenças        ( NOR e NAND )    • Tipo de acesso    • NOR possui custo elev...
Conceitos Básicos• Memórias NAND                          6
Conceitos Básicos• Memórias NAND  – Ocupam menor espaço  – Páginas forma blocos  – Exclusão somente no bloco base         ...
Conceitos Básicos• Discos de Estado Sólido  – Diferente dos HD  – Ótimo tempo de acesso                            8
Conceitos Básicos• Discos de Estado Sólido  – Tecnologias   ( 100.000 )              ( 10.000 )                           ...
Conceitos Básicos• Discos de Estado Sólido  – Funcionamento    • MLC com múltiplos canais de acesso    • Usam buffer para ...
Conceitos Básicos• Discos de Estado Sólido  – Efeito NOVO/USADO    • No HD os dados são gravados em setores 512 bytes    •...
Conceitos Básicos• Gravar um arquivo contendo 1234  – Leitura: 50ms  – Escrita: 900ms                                    12
Conceitos Básicos• SSD reserva o espaço e o aloca                                   13
Conceitos Básicos• E se eu alterar o conteúdo?                                14
Conceitos Básicos• Operação de escrita só pode ser  executada com bloco no estado original                                ...
Conceitos Básicos• E se existir outro arquivo válido  no bloco?  – Passa a ser necessário o uso do buffer                 ...
Conceitos Básicos• Da inexistência de blocos vazios,  ela começa a reutilizar blocos                                      17
Conceitos Básicos• Garbage Collection  – Solução emergencial                          18
Conceitos Básicos• TRIM  – Trabalha com agendamento de limpeza                                          19
Conceitos Básicos• Wear Leveling  – Evitar falha prematura ( Ex: swap )                                          20
Conceitos BásicosForense Computacional       Técnicas                        21
Conceitos Básicos• Forense Computacional  – Funções de Hash                          22
Conceitos Básicos• Forense Computacional  – File Carving             MASTER FILE TABLE ( NTFS )   23
COMPUTAÇÃO FORENSE     E OS SSD                     24
COMPUTAÇÃO FORENSE          E OS SSD• Wear Leveling e a geração de  falso-positivos                                 25
COMPUTAÇÃO FORENSE           E OS SSD• Garbage Collection e a integridade  – Comprovação futura                           ...
CONCLUSÃO   ONE DOES NOT SIMPLYDOMAIN ALL THE TECHNOLOGY                            27
A FORENSE COMPUTACIONAL E OS DISCOS DE ESTADO         SÓLIDO   Jeremias Moreira Gomes    jeremiasmg@gmail.com
Próximos SlideShares
Carregando em…5
×

A forense computacional e os discos de estado sólido

524 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
524
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Nos dias atuais, os SSD estão conquistando uma fatia significativa de mercado em relação aos HDs, tudo isso graças a características dos SSDs que, quando comparadas, se mostram superiores aos Discos Rígidos Desde a criação da Forense Computacional, os peritos enfrentam diversos desafios no que tange a existência de diversas tecnologias diferentes em suas diversas áreas de atuação: celulares, câmeras fotográficas, tocadores de música e mídias de armazenamento. Isso faz com que o perito tenha que possuir um conhecimento muito especializado acerca de determinado assunto. Diante desse cenário dinâmico, este trabalho é um vistoria que visa abordar a tecnologia dos SSD que estão cada vez mais presentes nos diversos ambientes computacionais
  • SDRAM – São unidades baseadas em chips de memória de acesso aleatório incrivelmente rápidos mas que perdem informações ao terem sua alimentação cortada
  • Flash RAM – Diferente da SDRAM, essa permite armazenar informações por longos períodos, sem necessitar qualquer fonte de alimentação elétrica. O que a fez se tornar uma tecnologia dominante em cartões de memória, pen-drives e os SSD que vou abordar mais a frente. Tipos de flash: Not OR – similitar a RAM e foi muito empregada em BIOS e firmwares que antes utilizavam ROM ou EEPROM Not AND – Essas que funcionavam de uma forma um pouco diferente ( explicado mais a frente ), conquistaram o mercado por possuírem diversas vantagens em relação as memórias do tipo NOR Diferenças: NOR permite acesso aleatório e NAND sequencial, Custo de fabricação da NAND é mais barato, leitura nas memórias do tipo NAND são mais rápidas
  • Diferenças: NOR permite acesso aleatório e NAND sequencial, Custo de fabricação da NAND é mais barato, leitura nas memórias do tipo NAND são mais rápidas
  • As do tipo NAND possuem células compostas por dois transistores com uma fina camada de óxido de silício para armazenar cargas negativas Esse armazenamento consegue manter os dados por longos períodos de tempo sem necessidade de alimentação de energia
  • - Esse esquema mostrado anteriormente ocupa um espaço relativamente menor em relação a célula de memória e faz com que cada chip armazene uma quantidade muito maior de dados com custo menor. É um conjunto que forma blocos de células ( PÁG 4KB, 128 PÁGINAS QUE FORMAM BLOCO DE 512 KB ) Cabe ressaltar que embora eu possa programar em uma página base, a exclusão se dá somente no bloco base.
  • São discos que usam um princípio de armazenamento completamente diferente dos HDs comuns Vantagem principal: Ótimo tempo de acesso combinado com rápidas taxas de leitura e gravação
  • SLC – Um bit por célula, é MAIS CARA e admite até 100.000 operações de escrita por célula ( MILITAR OU ALTA PERFORMANCE ) MLC – Trabalha com dois bits por célula, são mais baratas, admitem apenas 10.000 operações de escrita ( por serem mais baratas, são as mais empregadas atualmente ( pendrives, cartões de memória, etc ) )
  • A maioria usa MLC com múltiplos canais de acesso, podendo distribuir os arquivos em blocos e depois lidos simultaneamente ( SIMILAR AO RAID ) Usam buffer para organizar operações de maneira mais eficiente
  • SSD não é afetado pela fragmentação Em HDs o cluster é também, coincidência ou não, de 4KB ( normalmente ) ( BLOCO COM 12 PÁGINAS PARA FINS DIDÁTICOS DE UM 1 BYTE POR PÁGINA )
  • Esses são os valores onde existe uma diferença significativa entre leitura e escrita nos SSD A leitura ocorre de maneira independente ( Para MLC os valores )
  • Será gravado um arquivo com conteúdo “1234”, por exemplo
  • O problema inicia quando eu necessito editar e regravar algo.
  • - Se fosse utilizado o mesmo bloco, primeiro deveria-se apagar todo o mesmo, para então realizar uma nova gravação - O tempo agora já passa a ser de 1ms para a operação completa - Para arcar com isso, a controladora passa a buscar por blocos que estejam vazios para evitar essa necessidade
  • Com a existência de arquivo válido no bloco, passará a ser muito mais demorado, já que ele vai carregar o conteúdo para o buffer, fazer as alterações, limpar o bloco e depois gravar todas as informações
  • Vai chegar um momento onde todos os blocos já estarão dados como utilizados e será necessário começar a utilizar blocos já utilizados demorando muito mais nos tempos de resposta causando um efeito similar ao dos discos magnéticos, porém com por uma causa diferenciada
  • Diante desse problema de queda de performance, os fabricantes se viram obrigados a lançarem soluções emergenciais para resolver essa situação de velocidade e os Garbage Collection vieram nas atualizações de firmware para poderem realizar tal correção. ( Falar sobre o funcionamento sumário do GC )
  • A solução final veio com o comando TRIM ( a nível de SO ) Faz agendamento de limpezas das páginas de conteúdo deletado. Precisa ser suportado tanto pelo SSD quando pelo sistema operacional ( 2009 )
  • Sobre a vida útil dos SSD ( 10.000 operações ) Para evitar que algumas áreas falhem prematuramente, os fabricantes usam o wear leveling, que altera o setor de dados sempre que o mesmo é criado ou alterado
  • Voltado para a forense, é um mecanismo de segurança que se vale de uma função matemática unidirecional para gerar uma assinatura ( que é de tamanho fixo em sua saída ) que visa garantir integridade dos dados.
  • A ideia básica do carving é a busca de informações independente da sua tabela de alocação Aqui tem uma MFT só pra exemplificar como o sistema de arquivos trabalha com o famoso catálogo telefônico que contém os endereços de todos os arquivos, sem a tabela, a técnica de carving faz busca por cabeçalhos varrendo todo o disco
  • WL que trabalha em cima da recuperação de arquivos baseados naquilo que foi preenchido e sinalizado para ser apagado pela MFT/FAT acabam por gerar falso-positvos ou a não localização de um arquivo
  • Já o Garbage Collection liga-se diretamente com a integridade dos dados. O perito apreende o material a ser analisado e durante a coleta gera uma assinatura de integridade. Após a análise e na apresentação do relatório, há a necessidade jurídica e científica de se comprovar a integridade dos dados que, por atuação do garbage collection, teve sua integridade alterada de forma não previsível.
  • Apesar de todo o conhecimento acerca dessas tecnologias citadas, cabe ressaltar que suas implementações estão diretamente ligadas às regras de negócio do fabricante Com os SSD tomando sua parcela do mercado de mídias de armazenamento, é necessário que o perito conheça, estude e busque soluções que atendam as necessidades judiciais da atualidade E não permitir que criminosos se aproveitem da falta de padronização
  • A forense computacional e os discos de estado sólido

    1. 1. A FORENSE COMPUTACIONAL E OS DISCOS DE ESTADO SÓLIDO
    2. 2. Introdução• Discos de estado sólido e o cenário atual• Forense computacional• Objetivo do artigo 2
    3. 3. Conceitos Básicos• SDRAM ( Synchronous dynamic random access memory ) – Alto desempenho – Necessitam alimentação 3
    4. 4. Conceitos Básicos• Flash RAM – Tipos • Not OR ( NOR ) – Similar à RAM – Usada em BIOS e firmwares • Not AND ( NAND ) – Funcionamento diferenciado 4
    5. 5. Conceitos Básicos• Flash RAM – Principais diferenças ( NOR e NAND ) • Tipo de acesso • NOR possui custo elevado em relação à NAND • Leitura mais rápida nas memórias do tipo NAND 5
    6. 6. Conceitos Básicos• Memórias NAND 6
    7. 7. Conceitos Básicos• Memórias NAND – Ocupam menor espaço – Páginas forma blocos – Exclusão somente no bloco base 7
    8. 8. Conceitos Básicos• Discos de Estado Sólido – Diferente dos HD – Ótimo tempo de acesso 8
    9. 9. Conceitos Básicos• Discos de Estado Sólido – Tecnologias ( 100.000 ) ( 10.000 ) 9
    10. 10. Conceitos Básicos• Discos de Estado Sólido – Funcionamento • MLC com múltiplos canais de acesso • Usam buffer para organizar operações 10
    11. 11. Conceitos Básicos• Discos de Estado Sólido – Efeito NOVO/USADO • No HD os dados são gravados em setores 512 bytes • No SSD são páginas de 4 KB Construção didática 11
    12. 12. Conceitos Básicos• Gravar um arquivo contendo 1234 – Leitura: 50ms – Escrita: 900ms 12
    13. 13. Conceitos Básicos• SSD reserva o espaço e o aloca 13
    14. 14. Conceitos Básicos• E se eu alterar o conteúdo? 14
    15. 15. Conceitos Básicos• Operação de escrita só pode ser executada com bloco no estado original 15
    16. 16. Conceitos Básicos• E se existir outro arquivo válido no bloco? – Passa a ser necessário o uso do buffer 16
    17. 17. Conceitos Básicos• Da inexistência de blocos vazios, ela começa a reutilizar blocos 17
    18. 18. Conceitos Básicos• Garbage Collection – Solução emergencial 18
    19. 19. Conceitos Básicos• TRIM – Trabalha com agendamento de limpeza 19
    20. 20. Conceitos Básicos• Wear Leveling – Evitar falha prematura ( Ex: swap ) 20
    21. 21. Conceitos BásicosForense Computacional Técnicas 21
    22. 22. Conceitos Básicos• Forense Computacional – Funções de Hash 22
    23. 23. Conceitos Básicos• Forense Computacional – File Carving MASTER FILE TABLE ( NTFS ) 23
    24. 24. COMPUTAÇÃO FORENSE E OS SSD 24
    25. 25. COMPUTAÇÃO FORENSE E OS SSD• Wear Leveling e a geração de falso-positivos 25
    26. 26. COMPUTAÇÃO FORENSE E OS SSD• Garbage Collection e a integridade – Comprovação futura 26
    27. 27. CONCLUSÃO ONE DOES NOT SIMPLYDOMAIN ALL THE TECHNOLOGY 27
    28. 28. A FORENSE COMPUTACIONAL E OS DISCOS DE ESTADO SÓLIDO Jeremias Moreira Gomes jeremiasmg@gmail.com

    ×