欢迎来到沈阳腾飞数据恢复官方网站!
打开客服菜单

新闻中心

最新资讯

contact us

联系我们

沈阳腾飞数据恢复 > 技术更新 > PC-3000 SSD–如何绕过TRIM
PC-3000 SSD–如何绕过TRIM
编辑 : 时间 : 2024-02-20 13:05 浏览量 : 7

你好。

在这篇文章中,我们将谈论整齐命令,它出现在固态硬盘时代的初期(大约14年前),并成为所有现有固态硬盘的原生功能。

那么,这是什么,它是如何工作的?

整齐–是一个内部硬件SSD命令,与操作系统成对使用。默认情况下,从Windows Vista SP1、Windows 7和MacOS X 10.6开始(大约从2009年到2010年),TRIM已完全集成到所有操作系统中。

我们知道NAND存储芯片可以极快地读写信息。但是重写将会非常慢的因为NAND内存必须:

1.找到写入新数据的地方;
2.擦除旧数据(用零填充NAND单元);
3.进行写操作。

为了防止这种缓慢的处理过程,SSD开发人员决定添加一个TRIM命令(垃圾收集器),该命令在后台擦除所有标记为已删除的数据。当用户决定在已经清理过的地方写入新数据时,这有助于节省时间。固态硬盘如何知道哪些数据应该进行数据整理?操作系统会告诉硬盘哪些数据被标记为“已删除”,而固态硬盘只会擦除属于已删除区域的数据块。

TRIM活动方案

DE中的三重文件夹大小为零

有时固态硬盘甚至可以做更简单的事情-在快速格式化的情况下,固态硬盘只需擦除翻译器–处理物理到逻辑扇区的主微程序。因此,SSD在尝试从中读取任何数据时仅返回零(新的逻辑转换器对旧的物理数据一无所知,因此它“读取”的只是零)。

当你误通过数码相机对mSD、SD和CF卡进行格式化时,数码相机也可以做到这一点。而且在RAW recovery中你找不到任何东西,因为translator已经被删除了,新版本的translator也不关心任何旧数据。

在这种情况下,我们使用PC-3000闪存和我们的方法从mSD/SD读取NAND存储器并重建图像。这样就有可能看到原始数据,有时甚至可以构建完整或部分文件夹结构的图像。

但是对于固态硬盘来说,芯片关闭不起作用,因为所有现代固态硬盘都包含完整的硬件加密或带数据压缩的自适应XOR,因此我们在解密前不会看到NAND中的任何数据。

还记得客户带给您格式化硬盘并要求恢复的美好时光吗?只需在DE中点击几个按钮,你就可以获得一个完整的文件夹结构和十几g的原始数据。

不幸的是,这些日子已经过去了,因为即使是基于叠瓦磁记录(SMR)技术的经典硬盘驱动器也在使用TRIM!因此,在快速格式化后,转换器将被擦除,您将只能获得零而不是实际数据。

但让我们回到固态硬盘。格式化SMR恢复将是未来博客文章的另一个主题????

所以,让我们假设客户错误地格式化了他的固态硬盘,现在他想恢复数据。有可能做吗?这取决于驱动器容量、驱动器上写入的数据数量等因素。通常,硬盘需要10分钟到24小时才能完全擦除后台数据。

现代SSD控制器具有多核结构,这使它们可以同时做几件事。例如,当您试图扫描驱动器并使用数据提取器找到至少一些原始数据时,另一个CPU内核将继续后台进程,所有数据将继续被擦除。

您应该记住的主要事情是,驱动器正在整理数据,即使它只是简单地插上电源!如果您从SATA电缆上断开基于SATA的固态硬盘-它不会帮助您,因为CPU将在后台不断擦除。

默认驱动器初始化和处理

防止微调的唯一方法是禁止从CPU访问NAND芯片!我们如何做到这一点?唯一的办法是缩短车程安全模式–它将帮助我们禁止对NAND芯片的任何访问,并将使驱动器仅在CPU-RAM模式下运行。因此,我们可以在RAM中写入一些内容或从RAM芯片中读取信息,但不可能影响NAND芯片。

HP EX900 M.2 NVMe硬盘安全模式短路示例

任何固态硬盘上的安全模式方案

现在,我们需要一个加载程序——一个由ACELab开发人员制作的特定且优化的小固件。它类似于一个与目标控制器兼容的微型固件,ACELab开发人员完全关闭了所有后台活动,并解锁了一些以前被锁定的附加功能。如果我们有兼容的实用程序,我们可以尝试将加载程序加载到驱动器RAM中,并访问当前SSD的技术模式。然后,尝试使用转换器的旧副本重建转换器,并将其上传到驱动器RAM中。之后,我们可以尝试使用之前使用的自定义加载程序访问数据提取器中的数据。在这种情况下,驱动器将以单通道模式工作–速度缓慢,但没有任何后台活动。

加载程序上传后的技术模式方案

现在让我们总结一下信息:

  1. 修剪工作非常快。如果某些东西被删除或驱动器被格式化,你只有几分钟的时间让数据永远消失;
  2. 不要将驱动器插入电源!任何用于进一步研究的驱动器连接(通过SATA、M.2、USB等)都将导致SSD CPU的微调功能!
  3. 目标驱动器

    必须得到支持

    PC-3000固态硬盘

    。如果不支持,我们不能禁用修剪或防止数据擦除;

为了演示它是如何工作的,让我们向您展示一个真实的例子。我们这里有一个无名氏(SmartBuy NOVA)驱动基于SM2259XT控制器和两个由英特尔/美光制造的NAND芯片。

我们正在检查此驱动器上的内容,它充满了用户数据。一些视频、图片、文档——随机客户日常使用的所有内容。

现在,让我们尝试用快速格式化Windows上的按钮;

如你所见,数据不见了。

在通用实用程序和数据提取器中,我们只会看到零,因为DE使用的是本机驱动器转换器-这是一个在快速驱动器格式化后制作的新转换器。

中通用实用程序中的零而不是数据LBA

驱动器格式化后清空分区

RAW没有任何旧数据–只有分区格式化后的新NTFS记录

我们现在没有太多时间了,因为我们扫描驱动器的次数越多,后台擦除的数据块就越多。我们需要尽快缩短车程安全模式–这个技巧将帮助我们从CPU中禁用NAND芯片。

现在,让我们保持驱动器短路,因为对于硅运动和群联控制器,我们需要在驱动器初始化期间重新供电几次。 固态硬盘必须始终处于安全模式。

让我们启动兼容的实用程序SM2259XT(例如硅功率)并上传加载程序以激活变频器额外功能。

有时我们需要手动选择兼容的加载程序

当驱动器完成初始化时,就可以启动转换器构建过程。驱动器将扫描服务区,将采取一些重要的SA模块,其中包含有关重新分配、删除、坏扇区和好扇区的信息,并将在自动模式下进行新的转换。

翻译大楼准备好了。前进到数据提取器,并使用PC-3000实用程序作为源执行新任务。

一切准备就绪后,在对硬盘进行映像之前,让我们首先检查LBA在驱动器格式化后用零填充。现在,它包含数据!

在翻译大楼后,LBA包含数据,而不是零!

当然,我们必须使用原始恢复来查看文件。如果我们有一些,让我们停止这个过程,从完整的驱动器映像开始。万一硬盘出了问题,我们还有一份完整的内容拷贝。

现在,在1 000 000 LBA扫描后,我们可以看到大量的原始数据!

逐扇区复制到另一个驱动器以供进一步分析

复制完成后,让我们回到RAW并尝试找到有用的东西。如您所见,RAW充满了数据!不幸的是,有时文件夹结构可能会消失,因为快速格式化会覆盖包含主引导和引导扇区信息的零块。没有这些信息,文件系统将会消失。

仅10%的原始扫描后的结果–大量文件仍在固态硬盘上

但数据提取器是一个非常强大的东西,在磁盘分析后,即使在驱动器格式化的情况下,也有可能找到分区的旧副本,并恢复它们。当然,它比完整的FS差,但比只是一个RAW好得多。

伙计们,这就是了!很大一部分信息是关于如何使用PC-3000固态硬盘来防止修剪。让我们再次总结一下最重要的信息:

  • 自2010年以来,TRIM在每个操作系统和每个固态硬盘中默认打开;
  • 数据从1分钟缩短到24小时(取决于驱动器容量和删除的数据量);
  • 即使快速格式化也会导致翻译器擦除。所有数据将在数据提取器中显示为零;
  • 防止修剪的唯一方法是关闭驱动器电源或将其永久保持在安全模式下;
  • 删除或格式化固态硬盘后仍有可能恢复数据,但硬盘

    必须受PC-3000固态硬盘支持!


热门推荐: