固態(tài)硬盤Trim后的數(shù)據(jù)恢復(fù)

數(shù)據(jù)恢復(fù)技術(shù)是取證環(huán)節(jié)中是不可或缺的，或者說非常重要的一項(xiàng)手段。取證人員往往能從嫌疑人已刪除的數(shù)據(jù)中發(fā)現(xiàn)一些重要線索，甚至可以影響案件的偵破方向。那么對于傳統(tǒng)的機(jī)械硬盤而言，一般情況下在不對硬盤進(jìn)行二次破壞或者數(shù)據(jù)覆蓋的情況下，大多數(shù)情況下是可以幾乎完整的恢復(fù)出刪除的數(shù)據(jù)。

比如NTFS文件系統(tǒng)下刪除某個(gè)文件后，對應(yīng)文件的MFT項(xiàng)只是更改了表示文件狀態(tài)的字節(jié)。比如由01改為00表示文件被刪除，那么文件的數(shù)據(jù)區(qū)并未發(fā)生變化；再比如FAT32文件系統(tǒng)下文件被刪除后對應(yīng)FDT首字節(jié)被E5標(biāo)記，但數(shù)據(jù)區(qū)域同樣不會有任何變化。

那么固態(tài)硬盤無論其讀寫速度、硬盤體積以及工作條件都要優(yōu)于機(jī)械硬盤，而且目前的價(jià)格還有硬盤容量都被我們普通用戶所能接受。所以在我們當(dāng)下乃至未來的取證工作中，固態(tài)硬盤都將是數(shù)據(jù)存儲的主要存儲介質(zhì)。但是在取證工作一個(gè)很棘手的問題，那就是固態(tài)硬盤的數(shù)據(jù)恢復(fù)幾乎是不可能實(shí)現(xiàn)的。即便掌握了文件系統(tǒng)級的數(shù)據(jù)恢復(fù)技術(shù)，非常了解NTFS文件系統(tǒng)、非常了解FAT32文件系統(tǒng)了，甚至都可以通過手工的方式在底層進(jìn)行數(shù)據(jù)提取。但是面對固態(tài)硬盤的刪除恢復(fù)同樣沒有辦法。所以，我們一般都認(rèn)為固態(tài)硬盤數(shù)據(jù)刪除相當(dāng)于底層數(shù)據(jù)清零，絕無數(shù)據(jù)恢復(fù)的可能。

當(dāng)然說得并不嚴(yán)謹(jǐn)，應(yīng)該說開啟了Trim后的固態(tài)硬盤，數(shù)據(jù)恢復(fù)幾乎不可能實(shí)現(xiàn)。既然開啟了Trim就不能做數(shù)據(jù)恢復(fù)了，那如果關(guān)閉Trim再繼續(xù)使用硬盤是不是就不用擔(dān)心數(shù)據(jù)恢復(fù)的問題呢？答案是肯定的，但是對于固態(tài)硬盤而言為了增加硬盤的使用壽命，建議還是開啟Trim機(jī)制。

什么是Trim機(jī)制

·TRIM 是一個(gè)專門為SSD設(shè)計(jì)的指令。當(dāng)在操作系統(tǒng)下刪除某個(gè)文件后會發(fā)送Trim指令給SSD，使其數(shù)據(jù)無效，在做垃圾回收的時(shí)無需做數(shù)據(jù)搬運(yùn)。

·最直觀可見的現(xiàn)象是，刪除的文件無法通過常規(guī)的手段恢復(fù)。

·有益于延長Flash的損耗，以達(dá)到增加SSD使用壽命的目的。

那么對于取證工作而言呢，最直觀的表現(xiàn)就是，想要恢復(fù)固態(tài)硬盤中丟失的數(shù)據(jù)往往是無法實(shí)現(xiàn)的。經(jīng)過掃描發(fā)現(xiàn)文件的文件名，時(shí)間戳等信息都在，但是跳轉(zhuǎn)到數(shù)據(jù)區(qū)后發(fā)現(xiàn)全是零，或者甚至連文件名都掃描不出來。

雖然Trim給我們帶來了很多的困擾和阻礙，但數(shù)據(jù)安全存儲安全才是硬盤最該考慮的問題。為了延長硬盤的壽命所以Trim機(jī)制就沒發(fā)明出來了。

Trim數(shù)據(jù)恢復(fù)技術(shù)的適用范圍

那么是不是所有的固體硬盤經(jīng)過Trim后之后都可以做數(shù)據(jù)恢復(fù)呢？理論上來說，是這樣的。但是從實(shí)際操作角度而言，并非所有都支持。目前可按照硬盤的主控芯片作為判定標(biāo)準(zhǔn)的。我們都知道無論是傳統(tǒng)的機(jī)械硬盤還是固態(tài)硬盤，都需要有主控芯片，主控芯片相當(dāng)于我們計(jì)算機(jī)的CPU，硬盤的一切工作和任務(wù)都需要主控芯片下達(dá)指令。

（SSD結(jié)構(gòu)）

SSD主控是一個(gè)技術(shù)深度和市場廣度都很大的芯片產(chǎn)品，SSD發(fā)展初期主控芯片廠商較少，原因是涉及和生產(chǎn)一款新的芯片的要求和門檻較高。如今由于SSD的蓬勃發(fā)展和普及，配套的主控廠商看到了發(fā)展的前景和利潤，紛紛切入這個(gè)產(chǎn)品，圖中幾款常見的硬盤主控。

（常見SSD主控品牌）

·Marrvell是全球排名第一的HDD和SSD主控芯片供應(yīng)商，從2007年開始在SSD主控領(lǐng)域布局，2008年推出第一代SATA SSD產(chǎn)品。Marrvel憑借著HDD領(lǐng)域二十多年的經(jīng)驗(yàn)積累，其主控技術(shù)均領(lǐng)先于一般供應(yīng)商。

·三星的主控基本上都是三星自己的SSD在使用，三星硬盤的品質(zhì)也得到了市場和消費(fèi)者的驗(yàn)證，確實(shí)十分優(yōu)秀這都要得益于三星自家的主控算法。

·當(dāng)然還有一些大廠都擁有自己的主控產(chǎn)品，比如東芝、因特爾等。

同樣國產(chǎn)主控在中低端市場的占比也是非?？捎^的，常見的臺系主控有慧榮、群聯(lián)，當(dāng)然還有智微、硅格等等。

慧榮可以說是全球閃存控制芯片的技術(shù)領(lǐng)導(dǎo)者和先驅(qū)者，從2000年開始就提供flash存儲的解決方案；群聯(lián)也是2000年成立，從提供全球首顆單芯片U盤控制芯片起家。目前這兩家國產(chǎn)芯片在中低端SSD中市場占比量是非常大的，我們?nèi)∽C和恢復(fù)過程中，ATA協(xié)議的 SSD大多采用這兩種主控。

那么對于采用慧榮和群聯(lián)主控方案的固態(tài)硬盤Trim后是可以恢復(fù)或者說最容易恢復(fù)。那么對于其他品牌的主控或者其他品牌的硬盤理論上來說也是支持?jǐn)?shù)據(jù)恢復(fù)的，只是操作起來十分困難。需要借助更為專業(yè)的工具，比如ACE的PC3000 Flash或者FE等工具。嘗試將flash存儲顆粒取下來，然后進(jìn)行讀取以及重組工作。但比如因特爾的一些主控，寫入數(shù)據(jù)都是加密的，或者有些主控我們不清楚數(shù)據(jù)是如何存儲的，所以即便直接通過讀取flash顆粒將數(shù)據(jù)讀出來，但也無法進(jìn)行重組。所以說恢復(fù)難度比較大。

圖中所展示的是目前所能支持的主控型號，比如慧榮的SM2258XT、2246、2259等；以及群聯(lián)的PS3111/3110等。如果在取證工作中遇到采用這種主控方案的固態(tài)硬盤，那么這塊硬盤即便經(jīng)過了Trim，但刪除和丟失的數(shù)據(jù)也是有幾率可以恢復(fù)的。

（支持的主控）

Trim機(jī)制的支持情況什么情況下會默認(rèn)開啟Trim，或者說哪些情況下Trim會被開啟呢？有三個(gè)條件：

·第一，操作系統(tǒng)需要支持，對于Windows系統(tǒng)而言，Win7及以上版本的操作系統(tǒng)都可以支持Trim；

·第二，就是硬盤的主控需要支持Trim，在早期生產(chǎn)的固態(tài)硬盤，其主控有不支持Trim的情況。但目前我們能遇到的幾乎所有硬盤都支持Trim；

·第三，文件系統(tǒng)，Windows系統(tǒng)下NTFS是可以支持Trim的，而比如exfat是不支持的。

（支持情況）

判斷操作系統(tǒng)是否開啟Trim·Windows系統(tǒng)

可以通過命令來查詢當(dāng)前Trim的開啟狀態(tài)，當(dāng)返回值為0時(shí)表示當(dāng)前系統(tǒng)已開啟了Trim支持，而如果返回是1的話則表示未啟用Trim機(jī)制。也可以使用指令來控制Trim機(jī)制的開啟與關(guān)閉。

指令：fsutil behavior query disabledeletenotify

（Trim狀態(tài)查詢）

禁用Trim：fsutil behavior set disabledeletenotify 1

·macOS

同樣在macOS下可以點(diǎn)擊，關(guān)于本機(jī)-概覽-系統(tǒng)報(bào)告-NVMExpress這里查看Trim的狀態(tài)，同樣可以利用相應(yīng)的指令來開啟或關(guān)閉Trim。

（macOS下查看Trim狀態(tài)）

Trim后的數(shù)據(jù)恢復(fù)原理

首先要清楚固態(tài)硬盤和機(jī)械硬盤是不同的，在《硬盤初檢在取證工作中的意義》中介紹了機(jī)械硬盤的相關(guān)知識。其中有提到，機(jī)械硬盤寫入數(shù)據(jù)其實(shí)就是磁頭磁化盤片的過程，比如原來扇區(qū)中是0想要寫入1，那么就改變磁極方向從新寫入1就可以了；同理原來扇區(qū)里面是1想寫0，那就直接寫0就可以了。這是機(jī)械硬盤的數(shù)據(jù)寫入。也就是機(jī)械硬盤寫入數(shù)據(jù)，不必考慮原本扇區(qū)內(nèi)是否有數(shù)據(jù)，以及其中的數(shù)據(jù)是什么直接覆蓋寫入就可以。但SSD不行，固態(tài)硬盤并不支持?jǐn)?shù)據(jù)覆蓋寫入。

（機(jī)械硬盤數(shù)據(jù)寫入）

圖中所示，固態(tài)硬盤底層沒有扇區(qū)磁道的概念，而是一個(gè)浮動?xùn)牛ㄒ粋€(gè)cell），為了理解就暫且稱之為一個(gè)扇區(qū)。

左側(cè)圖示，是寫入數(shù)據(jù)的過程，可以看到當(dāng)在控制柵極通電，則電子會從下面襯底穿過隧穿層進(jìn)入到浮動?xùn)?；再看右?cè)擦除過程也就是放電，在下面襯底加電使原本在浮動?xùn)胖械碾娮恿鞒鰜怼?/p>

（固態(tài)讀寫數(shù)據(jù)原理）

所以通過這張圖可知，固態(tài)硬盤是通過浮動?xùn)爬锩嬗袩o電子來表示0和1的。所以這就是為什么固態(tài)硬盤是不支持?jǐn)?shù)據(jù)覆蓋寫入，是因?yàn)樗强扛淖兤渲杏袥]有電子或者說一個(gè)浮動?xùn)艓д?fù)電來表示數(shù)據(jù)狀態(tài)的。

所以固態(tài)硬盤里有個(gè)概念，叫寫之前擦除（erase before overwrite）。想要寫入數(shù)據(jù)就要先將浮動?xùn)胚M(jìn)行放電，也就是所謂的擦除使其中沒有電子，也就是浮動?xùn)艓д?；然后如果想要?進(jìn)去的話，就讓電子進(jìn)入浮動?xùn)攀蛊鋷ж?fù)電。

那么在進(jìn)行擦除時(shí)，硬盤不會單獨(dú)去操作一個(gè)浮動?xùn)诺?，是以block為單位進(jìn)行放電的，一個(gè)block由多個(gè)cell組成。那么可以思考一下，如果說對整個(gè)block放電，那其中的數(shù)據(jù)不是就沒了嗎？那肯定不行的！這就要涉及GC垃圾回收的知識了。

文件的寫入與刪除

圖中左側(cè)假如想要向硬盤中寫入ABC這三個(gè)文件，那么其實(shí)對于操作系統(tǒng)而言呢，或者說對于文件系統(tǒng)而言，這些不過是一個(gè)個(gè)的數(shù)據(jù)塊，將文件分成若干個(gè)塊之后被硬盤也是以數(shù)據(jù)塊的形式存儲在底層。

（文件的寫入與刪除）

那么假設(shè)此時(shí)將C文件進(jìn)行刪除，那么對應(yīng)操作系統(tǒng)也會在文件系統(tǒng)層進(jìn)行數(shù)據(jù)塊的定位，然后進(jìn)行標(biāo)記刪除，同樣硬盤底層也會做同樣的操作。

對于機(jī)械硬盤而言，我們知道只是在文件系統(tǒng)層做了相應(yīng)的刪除標(biāo)記，而文件的數(shù)據(jù)區(qū)未發(fā)生任何改變；而對于固態(tài)硬盤，此時(shí)操作系統(tǒng)則會向硬盤發(fā)送Trim指令，告訴硬盤這些數(shù)據(jù)塊是無效的，是垃圾數(shù)據(jù)。待空閑時(shí)將垃圾進(jìn)行回收。為什么做垃圾回收呢？前面說過，SSD寫入前必須要擦除block，垃圾回收的過程就是在閑時(shí)將無效的block進(jìn)行放電擦除以備下次寫入時(shí)使用。

（文件被刪除）

此時(shí)如果再次寫入一個(gè)新的文件D，那么硬盤底層是如何處理的，首先是當(dāng)硬盤沒有開啟Trim機(jī)制。

如果沒有開啟Trim，操作系統(tǒng)層刪除了文件，文件系統(tǒng)層只是做了標(biāo)記。但SSD并不會認(rèn)為這些塊是垃圾，所以只會在垃圾數(shù)據(jù)其后繼續(xù)寫數(shù)據(jù)，同樣在做數(shù)據(jù)搬運(yùn)時(shí)，還會搬運(yùn)這些已刪除的垃圾數(shù)據(jù)，這無形中就增加了大量的工作量。

（未開啟Trim時(shí)寫入數(shù)據(jù)）

接下來是當(dāng)硬盤開啟了Trim，同樣是寫入文件D的過程，圖中白色表示free塊，空白塊，操作系統(tǒng)層刪除文件之后發(fā)送Trim告知SSD，所以此時(shí)SSD就知道這些塊是垃圾，那么就不做數(shù)據(jù)搬運(yùn)了，然后把這些塊視為垃圾進(jìn)行塊回收其實(shí)數(shù)據(jù)搬運(yùn)是GC垃圾回收環(huán)節(jié)的一項(xiàng)非常重要的操作。

（開啟Trim時(shí)寫入數(shù)據(jù)）

什么是垃圾回收（GC）

·GC（Garbage Collection，垃圾回收）的縮寫，是固態(tài)硬盤（SSD）的一項(xiàng)內(nèi)部存儲機(jī)制，其設(shè)計(jì)目的是為了增加SSD的性能和使用壽命。

·垃圾回收的目的是回收空閑數(shù)據(jù)塊，以便在SSD需要寫入數(shù)據(jù)時(shí)直接寫入空閑塊中，確保硬盤可以高效運(yùn)行并保持良好性能。

另一個(gè)前面一直提到的概念就是數(shù)據(jù)搬運(yùn)，接下來來通過幾張圖了解一下，什么是數(shù)據(jù)搬運(yùn)？為什么要數(shù)據(jù)搬運(yùn)？其目的是什么？

數(shù)據(jù)搬運(yùn)是為了垃圾回收可以順利進(jìn)行，圖中block1和2是兩個(gè)數(shù)據(jù)塊，其中D1-D10表示有效數(shù)據(jù)，其他灰色表示無效數(shù)據(jù)。當(dāng)硬盤沒有開啟Trim時(shí)，由于操作系統(tǒng)沒有發(fā)送Trim指令給SSD，所以SSD并不知道哪些數(shù)據(jù)是無效的，那么在做GC數(shù)據(jù)搬運(yùn)時(shí)，就默認(rèn)所有的塊都是有效數(shù)據(jù)，都要做數(shù)據(jù)搬運(yùn)。

（未開啟Trim時(shí)的GC）

搬運(yùn)完畢后，就可以將block1和2進(jìn)行放電擦除，使其變?yōu)榭瞻讐K。

（放電擦除后的block）

接下來還是剛才的搬運(yùn)過程，假設(shè)當(dāng)開啟了Trim后，操作系統(tǒng)會發(fā)送Trim指令給硬盤，并告知哪些數(shù)據(jù)被刪除了，哪些數(shù)據(jù)是無效的。那么SSD就會進(jìn)行標(biāo)記，并認(rèn)定其無效化，那么在做數(shù)據(jù)搬運(yùn)時(shí)，只需要將有效數(shù)據(jù)D1-D10搬運(yùn)到新的位置即可，而那些被Trim標(biāo)記的無效數(shù)據(jù)就不再進(jìn)行搬運(yùn)了。

（開啟Trim時(shí)的GC）

然后呢，還是將原block1和2進(jìn)行擦除放電，以備接下來做數(shù)據(jù)寫入時(shí)使用。但是要清楚，做硬盤做GC以及擦除是在硬盤閑時(shí)自主完成的，并非Trim標(biāo)記后立刻擦除放電的。

（放電擦除后的block）

到這里相信大家就清楚了為什么SSD必須要開啟Trim了，雖然說Trim的開啟會影響取證工作，但之所以SSD具有Trim機(jī)制，才可以保障數(shù)據(jù)的安全和硬盤的使用壽命。

最后總結(jié)一下：

首先因?yàn)镾SD的設(shè)計(jì)是由一個(gè)個(gè)的浮動?xùn)沤M成的，那么是沒有辦法像機(jī)械硬盤一樣直接通過覆蓋的方式寫入數(shù)據(jù)，只能通過浮動?xùn)诺膸щ姞顟B(tài)表示0和1。所以這也就導(dǎo)致SSD在寫入數(shù)據(jù)之前必須要先擦除放電block，叫寫之前擦除。而為了節(jié)省時(shí)間，SSD不可能每次都要等到每次寫數(shù)據(jù)的時(shí)候再擦除，而是在操作系統(tǒng)或者文件系統(tǒng)刪除數(shù)據(jù)時(shí)發(fā)送Trim指令給硬盤，硬盤收到指令后對無效數(shù)據(jù)進(jìn)行標(biāo)記。那么在對block進(jìn)行擦除前，就要先把有效數(shù)據(jù)搬運(yùn)走，而那些被Trim標(biāo)記的無效數(shù)據(jù)就不做搬運(yùn)了，直接放電擦除即可。

實(shí) 驗(yàn)

首先是SSD經(jīng)過Trim后，直接對其進(jìn)行數(shù)據(jù)恢復(fù)，就是日常取證工作通常面對的一個(gè)情況。嘗試在底層嘗試尋找文件的MFT項(xiàng)。

（搜索）

可以看到在211093768扇區(qū)找到一個(gè)MFT項(xiàng)，這里可以看到文件名是“AXIOM痕跡...”，這個(gè)文件名上一條刪除線標(biāo)識這個(gè)文件已經(jīng)被刪除。

（被刪除的MFT）

接下來看這個(gè)文件的屬性，可以看到10、30、80屬性都是正常的，而偏移地址16-17，表示文件狀態(tài)的字節(jié)被清零了，比如正常沒刪除的這里可能是0100，刪除了就是0000。

（刪除標(biāo)記）

然后根據(jù)80屬性的run list，壓縮字節(jié)32進(jìn)行數(shù)據(jù)區(qū)的跳轉(zhuǎn)，可以看到這個(gè)文件跳轉(zhuǎn)之后的數(shù)據(jù)區(qū)全為00。

（run list）

（數(shù)據(jù)區(qū)全為00）

也就是說雖然這個(gè)文件的屬性頭、屬性體都正常，但偏移到數(shù)據(jù)區(qū)發(fā)現(xiàn)文件底層都是00。

再借助R-Studio比較直觀的看下文件的狀態(tài)，文件名前面紅色xx表示文件被刪除，查看底層發(fā)現(xiàn)確實(shí)全為00。這就是日常取證工作中最常遇到的情況，對固態(tài)硬盤進(jìn)行掃描，可能能掃描到文件MFT項(xiàng)，也就是能掃描到文件名之類的，但是恢復(fù)出來發(fā)現(xiàn)文件沒有內(nèi)容，底層全是00。

（RTT掃描結(jié)果）

那么這是為什么呢？是因?yàn)楫?dāng)刪除某些數(shù)據(jù)后，操作系統(tǒng)會向硬盤發(fā)送Trim指令，而硬盤收到指令后會在硬盤底層對無效數(shù)據(jù)進(jìn)行標(biāo)記。

進(jìn)行標(biāo)記后，當(dāng)再次試圖去訪問這些無效數(shù)據(jù)時(shí)，其實(shí)在硬盤主控層面就已經(jīng)阻斷了與硬盤存儲之間的聯(lián)系。既然已經(jīng)被標(biāo)記了，那么主控就會認(rèn)為這部分無效數(shù)據(jù)已經(jīng)被GC了，所以根本就沒有去flash存儲顆粒層面的地址上去讀取數(shù)據(jù)，而是在主控層面上直接給用戶返回00。這就是為什么我們恢復(fù)固態(tài)硬盤數(shù)據(jù)，文件名正常，但恢復(fù)出的數(shù)據(jù)全是00的原因了，其實(shí)都是主控芯片的行為在控制的。

（返回00的根本原因）

再看用了大招后的實(shí)驗(yàn)效果

圖中所示是一個(gè)文件的MFT項(xiàng)，同樣10、30、80屬性都是正常的，偏移地址16-17兩個(gè)字節(jié)為0000表示文件被刪除。

（刪除標(biāo)記）

接下來通過80屬性的run list以及通過DBR獲取到的每簇扇區(qū)數(shù)，也就可以跳轉(zhuǎn)到文件的數(shù)據(jù)區(qū)。

（每簇扇區(qū)數(shù)）

（run list）

進(jìn)行跳轉(zhuǎn)后，這里應(yīng)該就看到非常明顯的pdf標(biāo)志頭，表明數(shù)據(jù)區(qū)是有數(shù)據(jù)的并且是有效數(shù)據(jù)。

（數(shù)據(jù)區(qū)有效數(shù)據(jù)）

放到rtt中看的比較直觀。文件名前面紅色xx表示文件被刪除了，查看文件底層發(fā)現(xiàn)數(shù)據(jù)是正常的。

（rtt中查看文件狀態(tài)）

總結(jié)一下，也就是說當(dāng)硬盤經(jīng)過了Trim后，通過常規(guī)鏡像方式進(jìn)行數(shù)據(jù)恢復(fù)發(fā)現(xiàn)數(shù)據(jù)恢復(fù)幾乎是不可能的。而通過特殊的方式是完全有可能恢復(fù)出那些丟失的數(shù)據(jù)的。

恢 復(fù) 步 驟

我們需要對硬盤進(jìn)行短接，短接的目的呢，是為了讓硬盤進(jìn)入到ROM安全模式，這里需要注意的是，需要先短接再對硬盤進(jìn)行通電，硬盤呢可以直接通過數(shù)據(jù)線接口與主板連接或者通過USB轉(zhuǎn)接板都可以。

那么短接點(diǎn)也是十分容易識別的，大部分硬盤都會打印在電路板上會寫著ROMxx字樣；另外兩個(gè)短接點(diǎn)，一個(gè)是圓的一個(gè)是方的，大多數(shù)是這樣。

（短接進(jìn)入ROM安全模式）

在成功進(jìn)入到安全模式后，可以轉(zhuǎn)到操作系統(tǒng)下的磁盤管理界面，可以看到最下面 1G未初始化狀態(tài)的磁盤，這就表示成功進(jìn)入了安全模式，可以進(jìn)一步接下來的操作了。

（成功進(jìn)入安全模式）

然后運(yùn)行軟件，此時(shí)軟件會提示ROM Code Mode Device，然后根據(jù)Flash iD信息選擇合適的固件再接下來。

（運(yùn)行軟件識別到硬盤）

點(diǎn)擊右側(cè)Datarecovery按鈕后，會提示我們首先要加載MPISP，然后再加載ROMDebug。

（加載固件）

成功加載之后軟件會自動的回讀硬盤鏡像。最后可以直接對回讀的鏡像進(jìn)行常規(guī)的數(shù)據(jù)恢復(fù)就可以對固態(tài)硬盤中丟失的數(shù)據(jù)嘗試進(jìn)行數(shù)據(jù)恢復(fù)了。

（鏡像回讀）

那么是什么原理可以進(jìn)行的鏡像回讀呢？前文提到之所以硬盤反饋回來的是00，是主控芯片的行為，它認(rèn)為這部分?jǐn)?shù)據(jù)已經(jīng)被Trim標(biāo)記了也就自然會被GC，而實(shí)際中GC是閑時(shí)才會進(jìn)行的，并不是Trim后立刻執(zhí)行的，所以真實(shí)的情況是數(shù)據(jù)有可能沒有被立刻垃圾回收。

那么通過短接的方式讓硬盤進(jìn)入ROM安全模式，就好比計(jì)算機(jī)啟動到BIOS。ROM安全模式下只有主控的淹膜ROM工作，讓其發(fā)送鏡像回讀指令便可在安全模式下直接訪問flash顆粒，此時(shí)便可回讀出完整的dump物理鏡像。最后再對dump鏡像進(jìn)行重組和分析便可成功恢復(fù)出Trim之后丟失的那部分?jǐn)?shù)據(jù)了。