Bardzo często spotykamy się z pytaniami o możliwość odzyskiwania informacji usuniętych – czy to przez przypadkowe skasowanie, czy w wyniku przeprowadzenia formatu dysku SSD. W przypadku dysków SSD proces ten jest bardziej skomplikowany niż w tradycyjnych dyskach talerzowych (HDD), głównie ze względu na obecność protokołu TRIM, specyficznych kontrolerów oraz samej technologii zapisu danych w pamięciach NAND. Poniżej przedstawiamy obszerny przegląd zagadnień związanych z odzyskiwaniem danych z dysków SSD, włączając w to mechanizm TRIM, zjawisko tak zwanego „fake TRIM” i aktualny stan możliwości odzyskiwania danych.

1. Zasady działania dysków SSD i różnice w stosunku do dysków HDD

1.1. Budowa dysku SSD

Dyski SSD składają się z układów pamięci nieulotnej NAND (rzadziej NOR), kontrolera zarządzającego pracą dysku oraz dodatkowych układów wspomagających, takich jak pamięć cache (DRAM lub SRAM), często także układy odpowiedzialne za kodowanie i korekcję błędów (ECC).

W odróżnieniu od dysków HDD, nie ma w nich elementów mechanicznych – co przekłada się na wyższą odporność na wstrząsy, niższe czasy dostępu do danych i mniejsze zapotrzebowanie na energię.

1.2. Zapisy i kasowanie danych w pamięciach NAND

Istotną różnicą w stosunku do dysków talerzowych jest sposób zapisu i kasowania danych. W pamięciach NAND nie można nadpisać komórek „w locie”. Zanim komórka pamięci będzie mogła zostać zapisana ponownie, musi zostać skasowana w całości. Proces ten odbywa się w jednostkach zwanych blokami (zwykle o wielkości od kilkudziesięciu do kilkuset kilobajtów), podczas gdy zapisy mogą być wykonywane w mniejszych jednostkach, zwanych stronami (zwykle 4–16 KB).

1.3. Wear Leveling i overprovisioning

Kontrolery SSD stosują szereg mechanizmów przedłużających żywotność pamięci, takich jak wear leveling (równomierne rozkładanie zapisu we wszystkich dostępnych blokach NAND). Dodatkowo część pojemności dysku (tzw. obszar overprovisioning) jest zarezerwowana przez producenta do celów zarządczych i naprawczych (remapping uszkodzonych bloków, buforowanie zapisów itd.).

Te wszystkie procesy sprawiają, że w dyskach SSD nie ma prostego odwzorowania fizycznego adresu pamięci na logiczny adres widziany przez system operacyjny – co utrudnia analizę niskopoziomową i typowe metody odzyskiwania danych.

2. Mechanizm TRIM

2.1. Czym jest TRIM?

TRIM to polecenie, które system operacyjny wysyła do dysku SSD informując, że dany obszar logiczny (blok lub bloki) nie jest już potrzebny i może zostać uznany za wolny. Zwykle dzieje się tak po skasowaniu pliku lub sformatowaniu partycji. W klasycznym scenariuszu, gdy TRIM działa zgodnie z założeniami, dysk SSD usuwa (lub oznacza do usunięcia) fizyczne bloki NAND powiązane z tym obszarem logicznym, co w praktyce utrudnia (a nierzadko uniemożliwia) późniejsze odzyskanie danych.

2.2. Dlaczego wprowadzono TRIM?

W tradycyjnych dyskach HDD system operacyjny usuwa jedynie odniesienie do danych (z tablicy plików, z nagłówka MFT w przypadku NTFS itp.), pozostawiając same bajty nienaruszone, dopóki nie zostaną nadpisane. W SSD potrzeba kasowania bloków przed ponownym zapisem skutkowała degradacją wydajności, jeśli dysk nie wiedział zawczasu, które bloki fizycznie może wyczyścić.

Wprowadzenie polecenia TRIM umożliwia kontrolerowi SSD wydajniejsze zarządzanie pamięciami NAND. Kiedy system sygnalizuje, że dane nie są już potrzebne, kontroler może fizycznie zwolnić odpowiednie bloki w dogodnym momencie (np. w trakcie tzw. „garbage collection”), co poprawia wydajność i żywotność dysku.

3. Fake TRIM (tzw. „pozorny TRIM”)

3.1. Na czym polega „fake TRIM”?

Jak się okazuje niektóre kontrolery – szczególnie w określonych wersjach firmware’u – nie wykonują faktycznego czyszczenia/zerowania komórek NAND w momencie otrzymania polecenia TRIM, lecz jedynie dokonują wpisu w swojej wewnętrznej tablicy mapowania, informując, że określony blok danych jest „pusty”. W efekcie, przy próbie odczytu przez system operacyjny, kontroler zwraca ciąg zer (00…), symulując wyczyszczoną zawartość. Fizycznie dane w pamięci NAND przez pewien czas nadal mogą tam być – nie zostały nadpisane ani faktycznie skasowane. Inspiracją do badania tego zjawiska były karty SD, które po formatowaniu w aparacie zachowywały się identycznie.

Z perspektywy użytkownika wydaje się, że dysk całkowicie wymazał dane, ponieważ przy odczycie logicznym wszystko wskazuje na wartości „0”, ale w warstwie fizycznej mogą one wciąż się znajdować w pamięci NAND.

3.2. Konsekwencje dla odzyskiwania danych

Gdy SSD używa „fake TRIM”, istnieje potencjalna szansa na odzyskanie danych, o ile:

1. Bloki NAND faktycznie nie zostały jeszcze skasowane w procesie garbage collection (lub w wyniku innej operacji zarządzającej pamięcią).
2. Kontroler dysku pozwala na ominięcie warstwy logicznej i wykonanie niskopoziomowych odczytów fizycznych zawartości NAND – np. poprzez wylutowanie kości i użycie specjalistycznych narzędzi do odczytu, bądź poprzez odpowiednie komendy serwisowe samego dysku.

Dlatego „fake TRIM” w pewnych sytuacjach daje nadzieję na częściowe lub nawet pełne odzyskanie danych, które zniknęły logicznie (z poziomu systemu).

Niestety żadne tanie oprogramowanie do odzyskiwania danych nie wspiera tych procedur więc pozostają jedynie profesjonalne usługi. Zapraszamy oczywiście na bezpłatną wycenę.

4. Możliwość odzyskiwania danych po usunięciu i formacie

4.1. Rola kontrolera i firmware’u

Każdy dysk SSD ma unikalny kontroler wraz z dedykowanym oprogramowaniem (firmware). To od kontrolera i jego algorytmów zależy, co faktycznie dzieje się po otrzymaniu polecenia TRIM czy w trakcie standardowych operacji zapisu.

W niektórych przypadkach, gdy kontroler stosuje „fake TRIM” lub inne metody zarządzania blokami, możliwe jest odzyskanie danych – wymaga to jednak:

• Znajomości danego kontrolera.
• Dedykowanych narzędzi inżynierskich lub laboratoriów dysponujących odpowiednimi rozwiązaniami sprzętowymi i programistycznymi.
• Dostępu do pamięci NAND na poziomie fizycznym (co zwykle oznacza konieczność otwarcia dysku i skorzystania z metod takich jak chip-off lub inwazyjne odczytanie zawartości kości).

4.2. Silicon Motion (SMI) a Phison

Obecnie udokumentowane są przypadki (i potwierdzają to raporty różnych laboratoriów odzyskiwania danych), gdzie kontrolery Silicon Motion (w pewnych modelach i wersjach firmware) pozwalają jeszcze odzyskać dane mimo formatu czy skasowania z TRIM, jeżeli wykorzystują mechanizm „fake TRIM”.

Trwają również prace badawcze nad innymi popularnymi kontrolerami, takimi jak Phison, które dominują w wielu dyskach różnych producentów (m.in. Kingston, PNY, Patriot). W zależności od wersji firmware’u i mechanizmów zarządzania danymi, sukces odzysku bywa różny. Postępy w tej dziedzinie są regularnie zgłaszane na forach inżynierskich, w publikacjach specjalistycznych i przez firmy zajmujące się profesjonalnym odzyskiem danych.

4.3. Formatowanie vs. kasowanie plików

Formatowanie dysku SSD zazwyczaj wiąże się z wyzerowaniem struktur logicznych systemu plików. Jeżeli w trakcie formatowania system operacyjny (bądź inne oprogramowanie) wysyła również TRIM do całego obszaru partycji, dysk może oznaczyć wszystkie sektory jako wolne. Gdy dysk faktycznie wyczyści (lub oznaczy) te obszary, szansa na odzyskanie danych jest znacząco utrudniona, choć – jak wspomniano wcześniej – przy „fake TRIM” istnieje pewne pole do popisu dla specjalistycznych metod inżynierskich.

Usunięcie plików z poziomu systemu operacyjnego również zazwyczaj wywołuje TRIM, jednak jeśli dysk i/lub system jest niekompatybilny z TRIM (bądź TRIM jest wyłączony) – wówczas część typowych metod odzyskiwania plików może zadziałać podobnie jak w HDD, z zastrzeżeniem, że dysk SSD może w dowolnym momencie przeprowadzić wewnętrzną konsolidację bloków.

5. Jak przebiega proces odzyskiwania danych z dysku SSD w praktyce?

1. Ocena dysku i kontrolera
   Specjaliści z laboratoriów odzyskiwania danych najpierw identyfikują model dysku, używany kontroler i wersję firmware’u. Sprawdzają, czy dany dysk jest potencjalnie podatny na odzyskiwanie danych po TRIM lub formacie.

2. Zgranie zawartości NAND (metoda chip-off lub dedykowane interfejsy)

   • Najbardziej zaawansowaną metodą jest wylutowanie układów pamięci NAND i odczytanie ich w zewnętrznym programatorze (tzw. metoda chip-off). Wymaga to jednak szerokiej wiedzy, specjalistycznego sprzętu i oprogramowania.
   • Czasem możliwe jest podłączenie dysku do narzędzi serwisowych przez porty serwisowe, co umożliwia odczyt w trybie inżynierskim, bez konieczności fizycznego demontażu kości.

3. Analiza i rekonstrukcja bloków
   Po surowym odczytaniu zawartości NAND trzeba uwzględnić mapę logiczno-fizyczną (LBA-PBA), metadane kontrolera, algorytmy wear levelingu itp. W przypadku „fake TRIM” konieczne jest odszyfrowanie tych bloków, które w warstwie logicznej są „puste”, lecz fizycznie mogą nadal zawierać dane.

4. Odtworzenie systemu plików i struktury logicznej
   Gdy uda się zrekonstruować logiczną strukturę, specjalistyczne oprogramowanie próbuje zidentyfikować system plików, tablice partycji i odnaleźć potencjalnie przydatne fragmenty danych.

   • Często korzysta się z sygnatur plików (tzw. carve’owanie), analizy dziennika MFT (w przypadku NTFS) itd.

5. Ostateczna weryfikacja i rekonstrukcja plików
   Zebrane dane są sprawdzane pod kątem spójności i kompletności. W efekcie może się udać odzyskać część plików w nienaruszonej formie, inne tylko częściowo. Wszystko zależy od stopnia faktycznego wymazania i stanu pamięci.

6. Czynniki wpływające na skuteczność odzysku

1. Czas od skasowania
   Im więcej czasu upłynie, tym większa szansa, że kontroler przeprowadzi wewnętrzne operacje i faktycznie zwolni oraz nadpisze bloki.

2. Intensywność dalszej pracy dysku
   Duża liczba zapisów po usunięciu danych zwiększa prawdopodobieństwo ich nadpisania.

3. Rodzaj kontrolera i firmware
   Jak wspomniano, niektóre modele Silicon Motion wykazują podatność na odzyskiwanie danych po skasowaniu lub formatowaniu dysku SSD. W przypadku innych kontrolerów (np. Samsung, Marvell, SandForce, Realtek) zależy to mocno od konkretnej konfiguracji i wersji firmware’u.

4. Obecność sprzętowego szyfrowania
   Jeśli dysk stosuje szyfrowanie sprzętowe (co jest coraz częstsze w nowszych modelach), wówczas odzyskiwanie danych z poziomu fizycznych komórek NAND wymaga znajomości klucza szyfrującego. Jeżeli klucz został zresetowany lub usunięty, dane stają się nieodwracalnie utracone.

5. Zastosowane oprogramowanie do formatu (Secure Erase vs. standardowy format)
   Profesjonalne procedury Secure Erase (np. z użyciem komendy ATA Secure Erase) zwykle kasują dane w taki sposób, że odzyskanie jest praktycznie niemożliwe. Z kolei typowy szybki format czy kasowanie w systemie plików może dać lepsze szanse na częściowy lub pełny odzysk.

7. Podsumowanie

Odzyskiwanie danych z dysków SSD skasowanych lub po formacie jest znacznie bardziej złożonym zagadnieniem niż w przypadku tradycyjnych dysków HDD. Kluczową rolę odgrywają tu mechanizmy TRIM i zarządzania pamięcią NAND. W większości współczesnych dysków SSD w momencie otrzymania komendy TRIM, kontroler prędzej czy później wymazuje dane, przez co odzyskanie może być niemożliwe.

Istnieje jednak wyjątek – niektóre kontrolery stosują tzw. „fake TRIM”, polegający na logicznym oznaczeniu bloków jako puste bez natychmiastowego ich fizycznego wyczyszczenia. W takich przypadkach, zwłaszcza w modelach opartych na wybranych kontrolerach Silicon Motion, laboratoria zajmujące się profesjonalnym odzyskiem danych potrafią z rekonstrukcji fizycznych bloków NAND odzyskać część lub nawet większość utraconych informacji. Trwają intensywne prace badawcze nad innymi kontrolerami, takimi jak Phison, co daje nadzieję na dalszy rozwój technik odzysku.

W praktyce, aby zwiększyć szansę na odzyskanie danych z dysku SSD po skasowaniu lub formacie:

• Należy natychmiast zaprzestać używania dysku, by uniknąć nadpisania bloków przez nowe zapisy.
• Skontaktować się ze specjalistami mającymi doświadczenie z danym kontrolerem i dysponującymi odpowiednimi narzędziami.

W przyszłości należy spodziewać się, że producenci będą dążyć do jak najbardziej skutecznego wymazywania danych w ramach TRIM i operacji wewnętrznych, co podnosi poziom bezpieczeństwa prywatności użytkowników, ale utrudnia pracę służbom forensic i firmom data recovery. Mimo to, póki kontrolery mogą zawierać funkcjonalność „fake TRIM” i póki istnieją luki w implementacji firmware’u, pewne metody odzysku będą możliwe – choć wymagające ogromnej wiedzy, kosztownego sprzętu i czasochłonnej analizy.

Bibliografia / dodatkowe źródła (przykładowe):

• Dokumentacja techniczna producentów kontrolerów (Silicon Motion, Phison, itp.).
• Specyfikacje standardu SATA/ATA dotyczące polecenia TRIM.
• Artykuły naukowe i publikacje firm zajmujących się odzyskiwaniem danych (np. ACELab, All Data Recovery, Centrum Odzyskiwania Danych).
• Materiały forensics / data recovery, konferencje Black Hat, DEF CON, gdzie omawiano zagadnienia „fake TRIM” i niskopoziomowych analiz SSD.

Wnioski

• Usunięcie danych z dysku SSD przy włączonym TRIM jest w większości przypadków nieodwracalne, jednak zawsze warto sprawdzić, czy dany dysk nie używa  „fake TRIM”. Rodzi to również nowe możliwości w informatyce śledczej.
• W przypadku kluczowych danych (np. dowodów w śledztwie), analiza i próba odzysku powinna być przeprowadzona przez wyspecjalizowane laboratorium.
• Dynamiczny rozwój technologii SSD sprawia, że metody odzyskiwania danych stale ewoluują, co wymaga ciągłej aktualizacji narzędzi i wiedzy ekspertów.