青岛香农数据恢复中心-完美修复数据

Flash闪存的数据恢复和取证

作者：香农青岛数据恢复中心 2007-12-21 17:23

摘要：目前针对嵌入系统如手机和PDA的取证工具大部分是从逻辑层面提取数据而不考虑存储介质的类型。本文提出了一种从低层对闪存进行取证的方法，并给出了三种从低层拷贝闪存数据的方法。本文是基于对45种不同型号的USB存储设备使用的文件系统进行研究的基础上的。针对不同的手机本文展示了如何拷贝FLASH存储介质中的数据，然后将提取的数据转换为普通取证工具所能识别的格式的步骤。本文还讨论了Flash规范中的操作方法如块清零等，并给出了增前数据恢复和取证分析能力的指导。

关键词：嵌入系统，闪存，物理层分析，16进制分析，取证，手机，U盘。

青岛香农 译
Dec 20,2007
谢绝转载，谢谢合作

一、简介

消费电子的革命已经导致移动数字数据呈指数级别的增长。多数手机现在内置了摄像头，可以拍摄、存储、播放、传送图片、音频和视频数据。在一些国家，记忆棒的数量甚至比人口还多。有大量的数据与人的行为相关，并可能成为取证的对象。

Flash闪存目前是在消费电子产品上处于主导地位的非易失性固态存储技术。越来越多的嵌入系统使用了和个人计算机的文件系统一样的高级文件系统。目前用于对嵌入系统如手机或PDA进行取证的工具大部分是在逻辑层面上获取数据。许多情况下，在逻辑层上无法从存储设备中恢复所有的数据。不仅是删除的数据，有时从用户的立场来看不直接相关的数据也无法恢复，从而导致一些潜在的有用信息丢失。因此需要从低层恢复数据来取得证据。对于硬盘可以拷贝源盘中的所有字节到目标盘中，然后对拷贝进行分析——使用固态存储介质的嵌入系统也可以使用相同的方法。

本文给出了针对flash闪存从低层进行取证的方法。在第二章中介绍了flash闪存的关键技术。第三章中描述了针对flash闪存从低层恢复数据的三种方法：第一种是闪存工具（flasher tools），第二种是使用测试中常用的访问接口，最后一种将flash闪存芯片从电路板上取下的“半破坏”方法。第四章介绍了将获取的数据装换为普通取证工具可以使用的文件格式的方法。实验结果是基于U盘和手机中的数据。第五章介绍了flash文件系统中的数据的特点。