plsql 删除一直在执行_固态硬盘开启Trim后，删除数据究竟能不能恢复?

    固态硬盘其实是闪存存储硬盘系列的一个俗称(SSD)，近些年闪存存储发展迅速，一些企业级的固态硬盘容量能够达到10T以上容量，在速度和存储密度上的优势逐渐盖过传统的机械硬盘。

    那么固态硬盘删除数据后能不能恢复呢？

    早期的固态硬盘，删除机制其实和普通机械硬盘是一样的，仅仅是在文件系统中标记删除，实际数据并未发生改变，我们可以很轻松的利用传统的数据恢复软件扫描到文件存储地址进行数据恢复和提取，这个情况一直到"Trim"的出现，发生了根本性的改变(埋个坑，是真的改变么？)。

    先说一下"Trim" 技术实现的目的：为硬盘读写加速。那Trim是如何加速硬盘的呢？小编摘抄了一段来自网络的描述：

    “对于支持trim指令的SSD(目前大部分均支持)，开启trim指令后，系统会自行自动碎片整理，和快速删除，系统会告诉固态硬盘已删除的无效数据，固态执行运算时会自行清空无效数据，提高写入效率。”

    对于数据恢复来说，上面这段描述的最后一句“固态执行运算时会自行清空无效数据，提高写入效率。”无疑是对数据恢复方向的一记重拳。我们也进行了实际测试：固态硬盘删除某些数据后，winhex查看底层数据，数据消失的无影无踪(原存储区域均为00，此现象在手机存储当中也同样出现。)；那么我们可以认定，固态硬盘数据删除后，数据区域被“填0”，删除数据无法被恢复(我们直观上的感觉是这样的，但是实际上真的是这样么？请继续向下阅读)。

    固态硬盘启用“Trim”的两大前提条件：1.硬盘控制器支持“Trim”(上面所提到的，早期固态硬盘并不支持Trim；所以删除恢复效果和机械硬盘一样，样，由于早期固态硬盘价格昂贵，大都被用于服务器，给服务器系统加速。)；2.操作系统支持"Trim"(WIN CE; Windows XP是不支持Trim的)。也就是说固态硬盘在不同系统下进行的删除操作，进而删除恢复的效果也是不同的。

    综上所述，启用了“TRIM”机制的固态硬盘，数据删除后基本上就和数据恢复“拜拜了”，但是如果真是这样，今天这篇公众号文章就没有写的必要了，因为我们找到了另外一篇文章是这样介绍“Trim”的：

    “当Windows识别到SSD并确认SSD支持Trim后，在删除数据时，会不向硬盘通知删除指令，只使用Volume Bitmap来记住这里的数据已经删除。Volume Bitmap只是一个磁盘快照，其建立速度比直接读写硬盘去标记删除区域要快得多。这一步就已经省下一大笔时间了。然后再是写入数据的时候，由于NAND闪存保存数据是纯粹的数字形式，因此可以直接根据Volume Bitmap的情况，向快照中已删除的区块写入新的数据，而不用花时间去擦除原本的数据。”

    根据上面所说，"Trim"后无非就是改变了 Volume Bitmap；仅此而已。我们要解决的几个问题：1.Volume Bitmap存储在哪里？2.Volume Bitmap是硬盘和系统通讯必要条件么？3.Volume Bitmap能不能跳过或者人为的修改？这几个问题解决后，那么数据恢复问题还是问题么？

      随后我们又查阅了有关“Trim”的另外的一些信息："Trim"执行方式：

    1. DRAT(Deterministic Read After Trim，确定性修剪)代表固态硬盘在收到Trim指令后，所以针对已Trim区域的读取命令都将返回确定的相同数据，直到页面被写入新的数据。

    2. RZAT(Read Zero After Trim，修剪后读零)代表固态硬盘在收到Trim指令后，所有针对已Trim区域的读取命令都将返回零。

    如上所述，我们删除数据后，在底层上见到的全部都是00的情况，其实是硬盘返回给系统的是00；底层上不一定就是00。为了验证这个问题，我们做了如下实验：

    我们找到一块全新的120G固态硬盘,拷贝一些数据进去，然后进行删除和镜像，发现已经删除部分的数据确实被“清零”

    我们利用工厂工具读取硬盘每个存储芯片，然后进行重组，找到相关目录查看：

    非常明显，芯片数据重组出来的镜像里的数据明显要多于系统下镜像出来的，之前删除的数据尤然在列，这也就验证我们上述所讲的，“Trim”并不是真的将数据“填零”，这一切都是固态硬盘自己“搞鬼”，只要是绕过DRAT；RZAT这两种机制，那么删除数据恢复概率是稳稳直升。

    目前市面上固态硬盘品牌所使用的主控芯片，60%以上是采用的慧荣科技(Silicon Motion Technology ) XT2258; XT2259，这两个系列芯片目前都有对应的免费原厂工具可以被用于免拆读取固态硬盘闪存颗粒并且自动重组原始镜像，能够被执法人员用于恢复固态硬盘删除数据，其他主控固态硬盘，亦可以利用拆芯片分别读取再对镜像进行重组的方式(这个是有一定难度的)。

   或许还有其他更有效的方式来绕过 Trim的 DRAT；RZAT机制，我们共同研究，共同发现。

    关注河北阮咸科技有限公司公众号，获取更多有意思的“取证技巧”