Год от года плотность хранения информации растёт, как и скорость доступа к данным. В серверных стойках механические жёсткие диски постепенно уступают место твердотельным накопителям, ёмкость которых уже не только приближается, но и существенно превышает ёмкость традиционных накопителей. Если возникнет необходимость извлечь данные с серверного SSD в рамках экспертизы, вам придётся решить вопрос о способе его подключения. Перед нами — диск с маркировкой U.3, не самый очевидный формат для настольного компьютера. Разберёмся, что это такое и как с ним обращаться.

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

Рынок твердотельных накопителей претерпевает серьёзные изменения. Благодаря удешевлению NAND-памяти и наличию решений «под ключ» (контроллеры, прошивки, даже полностью готовые платформы), SSD стали массовым товаром. Сегодня твердотельный накопитель можно купить на любом крупном маркетплейсе, зачастую — по подозрительно низкой цене. Вместе с этим возник новый феномен: обилие безымянных SSD, в том числе из Китая, которые внешне выглядят как полноценные устройства, но на деле представляют собой непредсказуемую комбинацию комплектующих, временами — поддельных. В этой статье мы рассмотрим, что из себя представляют такие устройства и можно ли на них положиться.

Блокиратор записи — это устройство, которое позволяет считывать данные с накопителя, полностью исключая возможность их изменения. Такие блокираторы применяются в цифровой криминалистике, где критически важно сохранить информацию в исходном виде: даже случайная запись может повредить или уничтожить доказательства. Недавно мы писали о блокираторах для дисков SATA; сегодня мы расскажем о блокираторах, которые мы разработали для защиты от записи накопителей NVMe и карт памяти SD и NM.

Цифровая криминалистика давно вышла за пределы жестких дисков. Современные SSD — быстрые, компактные, но при этом коварные с точки зрения сохранности данных. Особое внимание заслуживает команда TRIM, напрямую влияющая на то, сможет ли криминалист получить доступ к удалённым данным. В этой статье мы расскажем, почему контрольные суммы при снятии образов с некоторых SSD могут не совпадать — и почему на современных дисках так не происходит.

Когда мы слышим слово «SSD», мы представляем привычные накопители для домашних компьютеров — 2,5-дюймовые SATA SSD или компактные модули M.2. Однако в мире серверных решений и центров обработки данных всё устроено иначе. Здесь используются специализированные SSD, зачастую гигантских по меркам обычных пользователей объёмов, которые не похожи на устройства из настольных компьютеров и ноутбуков. Их разрабатывают с прицелом на объём, надёжность, производительность и энергоэффективность, оптимизируют для плотной установки в серверные стойки.  Сегодня мы расскажем о двух таких форматах — U.2 и EDSFF.

При снятии образа данных в процессе исследования извлекаемые данные сохраняют на собственный, лабораторный накопитель. В статье где хранить данные? мы описали общие принципы выбора таких накопителей, а в статье SSD-накопители замедляются со временем описали работу механизма динамического кэширования записи, отметив исключительно негативное влияние этого механизма в рамках конкретного сценария: быстрой единовременной записи больших объёмов данных. В сегодняшнем материале мы рассмотрим накопители с отсутствующим динамическим кэшем в качестве оптимальных для нашего сценария.

Современные SSD-накопители отличаются высокой скоростью как чтения, так и записи. В силу использования ячеек с высокой плотностью (TLC и QLC NAND) высокая скорость записи, как правило, является результатом использования кэша с технологией псевдо-SLC (pSLC) кэша, в котором память NAND работает в «ускоренном» режиме записи. Использование такого типа кэширования позволяет в разы ускорить запись относительно небольших объёмов данных. Недавно опубликованный отчёт заставляет задуматься: его авторы утверждают, что динамический pSLC-кэш, активно используемый в современных SSD, ускоряет процесс деградации ячеек и сказывается на скорости записи через считанные единицы циклов перезаписи. В этой статье мы рассмотрим, почему это происходит.

Важной частью оборудования в любой лаборатории являются устройства для сбора и хранения данных, которые будут извлекаться из исследуемых устройств и накопителей. Эти устройства можно разделить на две категории: быстрые накопители, используемые для снятия образа данных и его последующего анализа, и ёмкие (как правило – многодисковые) хранилища для долговременного хранения и архивирования данных. К этим двум категориям предъявляются совершенно разные требования.

Недавно мы опубликовали статью с рекомендациями, как добиться максимальной скорости при снятии образов дисков, и получили довольно много откликов – как вопросов, так и дополнений. Мы провели дополнительное тестирование (однозначно не последнее), и делимся с вами результатами.