Após um processo de formatação, é possível recuperar dados em um SSD? Marcos A. C. Corrêa Júnior, Ruy J. Guerra B. de Queiroz Universidade Federal de Pernambuco (UFPE) {maccj, ruy}@cin.ufpe.br Abstract. Solid-state drives (SSDs) are becoming popular, they offer significant advantages in comparison with traditional hard disk drives (HDDs). Low power consumption, fast response times, resistance to damage from physical shock, no moving parts are some advantages. To overcome some limitations, SSDs incorporate optimizations, the most commons are wear leveling, garbage collection and TRIM. These optimizations operate transparently to the host OS, and add complexity to the SSD internal operation and may have a significant impact in data remanence. This research shows that is possible to recover data from SSD after a disk formatting process, the experimental findings demonstrate that at least in this case is possible recover a big amount of files. Resumo. Solid-state drives (SSDs) estão se tornando cada vez mais populares por apresentarem vantagens significativas frente aos discos magnéticos (HDDs): baixo consumo de energia, maior velocidade, além de maior resistência a danos físicos pois não possuem partes móveis. Porém, SSDs possuem algumas limitações. Para minimizar essas limitações e potencializar as vantagens, foram criadas algumas otimizações, dentre elas: wear leveling, garbage collection e TRIM. As otimizações operam de forma transparente para o sistema operacional hospedeiro, mas adicionam obscuridade ao funcionamento interno do SSD, e podem impactar significativamente na remanescência de dados. Este trabalho mostra - através de uma comprovação prática - que apesar dos procedimentos internos de otimização destruírem dados apagados em um SSD, é possível recuperar arquivos nesse SSD. 1. Introdução Flash memory solid-state drives (SSDs), até pouco tempo atrás, eram muito difíceis de encontrar. Hoje, observa-se uma utilização crescente deles em computadores pessoais, além de sua utilização em servidores nos data centers. Especialistas divergem no que diz respeito a definir uma data para a substituição dos antigos hard disk drives (HDDs) pelos modernos SSDs. Conforme Jim O Reilly, em artigo recente na Network Computing [O Reilly 2015], com o aumento da capacidade e diminuição do preço dos SSDs (com o advento da 3D NAND) não haverá muitos motivos para alguém comprar um HDD. A expectativa é que, com a queda de custos e aumento de capacidade, tenha-se um crescimento natural no uso de drives de estado sólido. Howard Marks, também escritor na Network Computing, contrapõe-se a algumas afirmações de O Reilly e assevera: antes de 2020 os preços de HDDs ainda serão bem menores que os de SSDs, constituindo-se ainda vantagem competitiva dos HDDs [Marks 2015].
A disputa entre SSDs e HDDs é compreensível, pois os dois dispositivos são mídias de armazenamento secundário e o número de computadores os quais usam drives de estado sólido em substituição aos tradicionais discos magnéticos está crescendo. A IDC (International Data Corporation) estima que o armazenamento utilizando flash, incluindo discos híbridos (conhecidos como SSHDs, que unem os pratos magnéticos e capacidade dos HDDs com um SSD pequeno e veloz) e também os discos puramente compostos de memória flash (conhecidos como SSDs), atingiram no último ano a cifra de US$ 11.3 bilhões [Patrizio 2015]. Muitos sistemas de armazenamento vêm adotando o SSD como tecnologia para a guarda de dados persistentes devido à reduzida latência de entrada e saída, aumento da largura de banda e outros ganhos de desempenho. SSDs são compatíveis com a interface do HDD e podem substituir as unidades de disco magnético para armazenamento persistente de dados e programas nos computadores modernos. Drives de estado sólido têm em seu interior uma estrutura diferente e também operam internamente de forma bem distinta dos discos magnéticos, apesar de muitos deles serem projetados para funcionar utilizando as mesmas interfaces (SATA/IDE/SAS). A compatibilidade com interfaces também utilizadas em discos magnéticos confere aos SSDs compatibilidade com dispositivos computacionais que já utilizam HDDs como mídia de armazenamento, o que facilita uma gradativa substituição dos HDDs por SSDs. Apesar da compatibilidade de interfaces, os mecanismos que operam internamente para aperfeiçoar o desempenho e a vida útil de drives de estado sólido criam incerteza no que diz respeito à utilização de técnicas de recuperação de arquivos apagados ou que passaram por um processo de formatação da unidade. Diferentes modelos de SSD podem ter processos internos diferentes, ou podem implementar de forma diferente os mesmos processos. O comportamento divergente entre os solid-state drives pode ser explicado, em parte, por diferença na implementação dos controladores da memória flash. Neste trabalho, é proposto um teste específico, cujo propósito é avaliar as peculiaridades e o comportamento de um SSD depois de um processo de formatação dessa unidade. A análise prática tenta recuperar qualquer dado possível que ainda permanece na unidade após o processo de formatação. Os resultados obtidos em experimentos de recuperação (após apagamento ou formatação de SSDs) podem determinar, por exemplo, uma mudança no paradigma de procedimentos de forense computacional [Bell and Boddington 2010]. O restante deste artigo está organizado da seguinte forma: O solid-state drive é detalhado na Seção 2. A Seção 3 apresenta trabalhos relacionados à persistência e recuperação de dados em SSD. A Seção 4 traz uma visão geral da metodologia e das técnicas de recuperação de arquivos empregadas. Na Seção 5 são apresentados resultados e uma discussão sobre eles. Finalmente, a Seção 6 apresenta as conclusões deste trabalho e a proposição de linhas de pesquisa para trabalhos futuros na área. 2. O Solid State Drive O sistema de memória de um dispositivo computacional pode empregar diferentes tipos de memórias para que haja um equilíbrio entre custo, velocidade e capacidade de armazenamento. Discos magnéticos (HDDs) e drives de estado sólido (SSDs) são dispositivos de armazenamento secundário, eles têm como característica a preservação das informações
ali armazenadas, mesmo na ausência de uma fonte de alimentação externa. A terminologia estado sólido refere-se ao fato de que dados são armazenados em arranjos fixos de transistores eletrônicos, os quais permitem que a leitura e escrita sejam executadas de forma bem mais rápida nos drives de estado sólido. Uma comparação realizada pela Intel, apresentada na Tabela 1, mostra vantagens do SSD sobre seu concorrente direto, o HDD [Intel 2010]. Tabela 1. Comparação entre SSD e HDD [Intel 2010] SSD HDD Vantagem do SSD Tempo de inicialização de um SO 19 s 30 s 37% menor Resistência a impacto e vibração 1.500 G 900 G 60% mais imune Consumo de energia (por semana) 35 Wh 55 Wh mais de 20% menor Confiabilidade (MTBF) 1,2 x 10 6 h 0,6 x 10 6 h 100% mais confiável Ruído de operação 0 db 25 db nenhum ruído O SSD é um dispositivo mais complexo, é um sistema que pode internamente gerenciar troca de dados, funções de criptografia e compactação, além de outros mecanismos específicos por meio de um processador interno ao drive. Para entender o funcionamento interno, divide-se didaticamente o SSD em dois componentes fundamentais: as células de memória flash e o controlador de memória. 2.1. Controlador de Memória O controlador de memória é o principal responsável pelo desempenho e confiabilidade do SSD, na arquitetura de alto nível do controlador de memória apresentado na Figura 1, podem-se distinguir três diferentes partes: interface do HOST - situa-se entre o host (computador) e o SSD, os protocolos precisam ser compatíveis com padrões da indústria usados para HDDs, são exemplos desses padrões: SATA, SAS e PCIe; firmware também conhecido como flash file system - algoritmos internos de leitura, escrita, modificação, apagamento e outras funções inerentes a processos internos como wear levelling, gerenciamento de bad block, garbage collection, TRIM; código corretor de erro (ECC) - identifica e corrige erros de bits. Diferentemente de outros produtos de armazenamento, para SSDs não há padrões específicos da indústria de como deve-se armazenar ou apagar os dados. Após a interface que existe entre o computador e o drive de estado sólido, cada fabricante constrói livremente a estrutura e algoritmos internos com o intuito de atingir a máxima performance, logo há uma grande variação entre diferentes marcas e modelos. 2.2. Células de Memória Memória flash NAND é um tipo de memória não volátil (Non-Volatile Memories - NVM), ou seja, o conteúdo armazenado é preservado após a retirada da fonte de alimentação, além disso, o conteúdo pode ser eletricamente alterado. Solid State Drive (SSD) é uma das últimas aplicações de memórias flash [Micheloni and Eshghi 2013].
Figura 1. Visão da arquitetura de alto nível do controlador de memória flash [Micheloni and Eshghi 2013] Célula flash NAND recebe essa denominação devido à operação lógica Not AND empregada em sua construção. A célula é baseada na tecnologia de Floating Gate (FG). Pode-se observar a representação de um floating gate MOSFET na Figura 2. Um transistor do tipo MOSFET é construído com dois gates sobrepostos em lugar de apenas um: o primeiro é completamente envolvido por óxido, enquanto o segundo é utilizado para formar o terminal. As operações realizadas para injetar e remover elétrons no gate isolado são chamadas de programação e apagamento (do inglês, program and erase - P/E), respectivamente. Essas operações modificam a voltagem V T H deste tipo especial de transistor do tipo MOS (floating gate MOSFET) [Micheloni and Eshghi 2013]. Brown e Brewer [Brown and Brewer 1998] afirmam que os processos de programação e apagamento são destrutivos para a fina camada de isolamento dielétrico feita de SiO 2 (silicon dioxide glass) que existe entre o floating gate e o canal de um transistor. Os processos destrutivos utilizados nesses processos causam degradação do dispositivo e limitam a vida útil da memória flash de forma proporcional ao número de ciclos de Programação/Apagamento (Program/Erase - P/E) [Perdue 2008]. Células de memória flash são organizadas em uma hierarquia em que a menor unidade é a própria célula, o agrupamento de células são páginas, o agrupamento de páginas são blocos e o conjunto de blocos constitui a memória flash NAND. A expectativa do tempo de utilização de um SSD está ligada diretamente à maneira através da qual as células de memória flash são usadas, mais especificamente em relação ao número de ciclos de escrita a que são submetidos cada bloco. Blocos individuais dentro
Figura 2. Uma representação em corte transversal de uma célula de memória floating gate MOSFET [Olson and Langlois 2008] do SSD só podem ser escritos cerca de 10000-100000 vezes antes que eles corram sério risco de falhar [Olson and Langlois 2008]. 3. Trabalhos Relacionados Em geral, sistemas de armazenamento mantêm uma tabela de arquivos separada do espaço de armazenamento, essa tabela fornece a informação para localizar os dados na unidade. Para apagar um arquivo, em um processo típico é necessário apenas remover a sua entrada na tabela, removendo a entrada perde-se o vínculo com os dados. Pesquisadores descobriram que os dados ainda permanecem no local após a remoção da ligação e é possível recuperar grande parte ou todo o conteúdo do arquivo apagado. Nesta seção, são mencionadas algumas pesquisas as quais investigam os dados residuais e sua recuperação. Peter Gutmann em uma pesquisa de 2001 [Gutmann 2001] realiza uma análise de problemas de remanescência de dados, conclui-se que esses problemas afetam não só RAM e células de memória não volátil, mas também podem ocorrer em dispositivos projetados para propósitos específicos. Gutmann considera que os dados armazenados podem deixar os seguintes vestígios de sua existência: tensão elétrica em elementos usados na dopagem dos semicondutores, hot-carrier effects e efeitos de eletromigração. Em Skorobogatov [Skorobogatov 2005] é realizada uma análise da forma de armazenamento de dados em dispositivos de memória semicondutora, discute-se nesse trabalho o que ocorre após as operações de apagamento. Para o autor, vários dispositivos de segurança como microcontroladores e smartcards com memória EEPROM/Flash assumem que a informação da memória desaparece por completo depois de uma operação de apagamento, essa crença pode comprometer a segurança do sistema uma vez que em muitos casos dados podem ser extraídos mesmo após essa memória semicondutora ter passado pelo processo de apagamento. Em [Antonellis 2008] e [Olson and Langlois 2008] são mencionadas vantagens competitivas de SSDs em relação aos HDDs, como: altas taxas de transferência de dados, baixo tempo de acesso, maior tolerância a choques físicos e vibrações, consumo reduzido de energia. Antonellis [Antonellis 2008] faz um experimento prático no qual ele não foi capaz de recuperar informação útil com as ferramentas existentes e adverte que SSDs impõem dificuldades para a área forense que precisam ser enfrentadas. Bell e Boddington [Bell and Boddington 2010] mostram que unidades de estado
sólido têm a capacidade de destruir provas (dados) mesmo na ausência de instruções específicas de um computador para fazê-lo. A principal discussão gerada é sobre o uso de dados recuperados em uma unidade de estado sólido como uma prova digital no tribunal, porque qualquer perda de conteúdo ou alteração pode prejudicar a admissibilidade da prova e diminuir o valor probatório. SSDs têm procedimentos internos que podem contaminar as provas de forma imprevisível, esse comportamento dificulta a validação de provas e prejudica a credibilidade dos dados recuperados. Bell e Boddington fazem uma previsão sombria: parece possível que a idade de ouro para a recuperação, análise de dados e metadados excluídos tenha chegado ao fim. Nisbet e outros [Nisbet et al. 2013] realizam análise forense em unidades de estado sólido não só analisando os algoritmos wear leveling e garbage collection, mas também comparando com outros SSDs que além de wear leveling e garbage collection funcionam em conjunto com sistemas de arquivos capazes de enviar aos SSDs a instrução TRIM. As conclusões desse trabalho levam a crer que discos e sistemas operacionais com a instrução TRIM habilitada deixarão muito menos dados para investigadores forenses do que esses mesmos discos e sistemas sem TRIM habilitado. Dois trabalhos mais recentes [Gubanov and Afonin 2014] e [Bonetti et al. 2014] apresentam conclusões semelhantes, para eles os SSDs têm implementações diferentes a depender do fornecedor e, devido a isso cada SSD age de forma diferente. Em muitas situações unidades de estado sólido podem tornar difícil recuperar arquivos apagados, mas há inúmeras exceções que permitem aos especialistas recuperar arquivos aparentemente apagados. Algumas combinações de controladores SSD, SO, sistemas de arquivos e outras características podem influenciar profundamente na quantidade de informações que podem ser recuperadas. 4. Metodologia da Pesquisa A parte experimental desta pesquisa consiste de um SSD que já foi usado por um tempo e foi formatado. Faz-se mister ressaltar que não é relevante nesta pesquisa o sistema operacional nem o sistema de arquivos no qual os dados estavam armazenados antes do processo de formatação, o foco está na recuperação de arquivos. Trabalhos futuros poderão especificar melhor o ambiente no que diz respeito ao SO e ao sistema de arquivos, além de avaliar como eles influenciam no processo de recuperação. Foi utilizado um SSD da marca ADATA, modelo Premier SP800-32GB. Esse SSD possui: suporte ao comando TRIM; controlador de memória Sand Force SF-1222; interface SATA 3Gb/s. Antes dos experimentos, o SSD era usado por um usuário doméstico típico, cujas aplicações incluem: reprodutor de áudio e vídeo, navegador web, e-mail e pacote de escritório Sabe-se que em um processo judicial os dados recuperados podem ser usados como prova para demonstrar a verdade. A admissibilidade de arquivos recuperados depende das qualidades percebidas pelo juiz ou pelos jurados. Giuliano Giova [Giova 2011] considera que a prova digital não pode ser admitida sem uma cadeia de custódia, porque geralmente essa prova fica longe da percepção sensorial. Nesta pesquisa deseja-se saber se remanescência de dados é um problema em SSD, porém não é relevante neste momento
saber a finalidade que será dada aos dados, é relevante saber se é possível encontrar dados e recuperá-los. 4.1. Geração da Imagem O Linux tem a vantagem de possuir ferramentas livres que permitem fazer a captura da imagem. No Windows, uma das ferramentas de imagem mais populares é o FTK Imager (Forensic Tool Kits). Nesse passo foram utilizados três softwares diferentes, dois deles são ferramentas do Linux, o último é um software do Windows, com cada um desses softwares foi criada uma imagem forense. Os softwares utilizados para criar a imagem forense são: 1. FTK Imager 3.2.0 (Windows 64 bits) - é uma ferramenta de imagem de disco gratuita, fornecida pela AccessData; 2. dcfldd (dcfldd) 1.3.4-1 (Kali Linux 32 bits) - é uma versão melhorada do GNU dd com vários aprimoramentos forenses, desenvolvida por Nicholas Harbour que trabalhava para o Department of Defense Computer Forensic Lab; 3. dc3dd (dc3dd) 7.1.614 (Kali Linux 32 bits) - é uma outra versão melhorada do programa GNU dd existente. É desenvolvida e mantida pelo US Department of Defense Cyber Crime Centre. A maioria dos recursos foi inspirada no software dcfldd e modificada para o dc3dd. 4.2. Recuperação de Dados O segundo passo para investigar a presença de dados residuais é o processo chamado de recuperação de dados. Nessa etapa o objetivo é recuperar os dados que foram perdidos, corrompidos, apagados ou tornados inacessíveis por qualquer motivo. Neste passo, foram utilizadas as imagens geradas na etapa anterior, a elas foram aplicadas softwares de recuperação de dados. Os softwares utilizados foram: Foremost, Scalpel, Magic Rescue, Photorec e Recoverjpeg. Não está no escopo deste trabalho avaliar a capacidade dos softwares de geração de imagem (Subseção 4.1) também não está no escopo avaliar os softwares de recuperação de dados. É suficiente, para atingir o objetivo de recuperar dados, conseguir encontrar e recuperar dados válidos com qualquer combinação de softwares de geração de imagem e de recuperação de dados. 5. Resultados e discussões Devido a achados de trabalhos anteriores, esperava-se encontrar arquivos contendo 00s na visualização em hexadecimal conforme mencionado por Antonellis em [Antonellis 2008] ou uma taxa muito baixa de recuperação de dados. Isso demonstraria que dados após apagados são praticamente irrecuperáveis, isso seria trágico para o trabalho forense ou de recuperação de dados. Sabe-se com base no trabalho de Skorobogatov [Skorobogatov 2005] que dispositivos de memória com floating gate possuem problemas de remanescência de dados e que, até mesmo depois de uma operação de apagamento, o transistor não retorna totalmente ao seu estado inicial. Há um método para leitura do conteúdo do chip NAND de forma direta ignorando algumas camadas, esse método é conhecido como aquisição de caixa-branca. Entretanto ele é caro e nem sempre é viável.
Esta pesquisa utiliza uma abordagem conhecida como caixa-preta (lê os dados tal como apresentados pelo controlador de memória SSD) que é um método mais conveniente, barato e fácil de executar. No entanto, há trabalhos que obtêm resultados extremamente insatisfatórios com essa metodologia, um exemplo que pode ser mencionado é a pesquisa de Bell e Boddington [Bell and Boddington 2010]. Eles são malsucedidos em sua intenção de recuperar dados a partir de unidades de estado sólido. Apesar de haver artigos que descrevem unidades de estado sólido como capazes de destruir provas catastroficamente, nesta pesquisa os resultados obtidos contradizem [Antonellis 2008] e [Bell and Boddington 2010] e o objetivo de encontrar e recuperar dados é alcançado. A metodologia foi aplicada em uma unidade que era usada em um computador com tarefas típicas de um usuário doméstico, incluindo a criação de documentos, navegação web, música. Depois de certo tempo um comando de formatação rápida foi executado, o sistema operacional supostamente enviou comando ao SSD de que toda a unidade poderia ser zerada. O SSD utilizado possui suporte ao comando TRIM que é utilizado para otimizar o desempenho da unidade, mas é útil também como ferramenta anti-forense [Nisbet et al. 2013]. Com esses procedimentos espera-se que os blocos do drive sejam inteiramente apagados em questão de segundos [Nisbet et al. 2013]. Os primeiros procedimentos tomados foram as execuções de cada um dos softwares voltados para geração de imagens forenses mencionados na Subseção 4.1, com isso foram obtidas três imagens distintas: 1. Com o FTK Imager 3.2.0 - arquivo de 1.535.888 KB; 2. Com o dcfldd (dcfldd) 1.3.4-1 - arquivo de 16.035.748 KB; 3. Com o dc3dd (dc3dd) 7.1.614 - arquivo de 31.263.744 KB. A segunda etapa (Subseção 4.2) obtém o resultado final, ou seja, permite saber se é possível restaurar arquivos a partir das imagens forenses geradas na etapa anterior. Com o desfecho da segunda etapa, chega-se ao principal objetivo do trabalho, o qual é responder à seguinte pergunta: É possível recuperar dados apagados em SSD? A dúvida é pertinente porque SSD tem algumas características que podem destruir todos os dados residuais sem intervenção do usuário. Ferramentas para recuperação de dados são usadas quando se deseja recuperar pastas e arquivos apagados ou para recuperar dados de mídias danificadas. Nesta pesquisa, todos os softwares utilizados foram mencionados no início na Subseção 4.2 e houve recuperação bem sucedida de dados a partir da imagem criada do SSD. Com todos os softwares empregados houve recuperação de muitos arquivos: imagens (*.jpg, *.bmp, *.gif, *.png), vídeos (*.avi, *.mpg), documentos (*.pdf, *.doc) e outros arquivos (*.java, *.sys, *.dll). Testes realizados nesta pesquisa demonstram que os arquivos, aparentemente eliminados após a formatação, puderam ser recuperados. Depois da formatação o SSD parece estar completamente vazio, mas diferentemente de resultados obtidos em pesquisas anteriores [Antonellis 2008] [Bell and Boddington 2010], foram restaurados arquivos típicos, como documentos e figuras a partir da imagem forense gerada a partir desse SSD formatado. Foi analisado um cenário em que um SSD passou por um processo de
formatação, a partir do SSD formatado foram geradas três imagens forenses com três diferentes ferramentas (FTK Imager, DCFLDD, DC3DD), a partir das três imagens foram utilizados cinco softwares de recuperação de dados (Foremost, Scalpel, Magic Rescue, PhotoRec, Recoverjpeg) para otimizar a chance de recuperação de informações válidas. Muitas pesquisas indicam que SSDs não podem ser tratados como HDDs convencionais, mas é possível recuperar os dados residuais, mesmo depois da formatação dessa unidade. Devido ao extenso tempo de uso da tecnologia de discos rígidos magnéticos há ferramentas padronizadas e técnicas bem conhecidas desenvolvidas para recuperar dados apagados. No caso de unidades de estado sólido também há dados remanescentes e mesmo com mecanismos específicos que podem destruir dados, ficou demonstrado que algumas informações podem ser recuperadas ainda que utilizando as ferramentas já disponíveis para recuperação de dados em HDDs. Há diferentes controladores, e, portanto, alguns SSDs agem de forma diferente. [Bonetti et al. 2014] mostra que a combinação de controlador, sistema de arquivos, sistema operacional e até mesmo o uso do SSD podem influenciar profundamente na quantidade de informações que podem ser recuperadas. 6. Conclusão e Trabalhos Futuros Esta pesquisa identificou que no caso analisado (SSD depois de formatação da unidade) métodos de aquisição disponíveis para HDDs são úteis, isso significa que é possível recuperar uma grande quantidade de dados de SSD após a formatação do drive. Além disso, nesta pesquisa é demonstrado que os dados residuais podem ser recuperados com ferramentas já existentes e podem ser utilizados em um eventual litígio, ainda que exista muita incerteza circundando a tecnologia SSD, incertezas essas que podem dificultar a admissibilidade de provas obtidas nesses dispositivos. O SSD realiza periodicamente apagamento de dados sem a interferência de usuários, esse comportamento é atribuído a mecanismos internos do controlador de memória SSD cujo propósito é fornecer um melhor desempenho e uma vida útil superior. Mesmo com mecanismos que podem eliminar os dados armazenados há situações que podem formar um ambiente propício e permitir uma alta taxa de recuperação. Os atuais métodos de aquisição são menos eficazes para SSDs do que para HDDs, a recuperação é incerta e os resultados ainda imprevisíveis. Contrariando a literatura, este trabalho demonstra com um caso prático que é possível recuperar dados de um SSD após um procedimento de formatação empregando ferramentas já existentes e desenvolvidas para a recuperação de dados em HDDs. Como trabalhos futuros, pretende-se encontrar elementos que possam determinar se é as implementações proprietárias realizadas em cada controlador de memória agem de forma determinante para a dificuldade de recuperação de dados. Com novas pesquisas será possível descobrir se a destruição de dados é uma característica inerente da implementação de alguns controladores e especificar quais controladores de fato destroem os dados através de processos internos. Outro trabalho futuro relevante diz respeito a estabelecer procedimentos padronizados para melhorar a admissibilidade das provas coletadas de um SSD em um tribunal.
Referências Antonellis, C. J. (2008). Solid state disks and computer forensics. ISSA Journal, pages 36 38. Bell, G. B. and Boddington, R. (2010). Solid state drives: The beginning of the end for current practice in digital forensic recovery? Journal of Digital Forensics, Security and Law, 5(3):1 20. Bonetti, G., Viglione, M., Frossi, A., Maggi, F., and Zanero, S. (2014). Black-box forensic and antiforensic characteristics of solid-state drives. Journal of Computer Virology and Hacking Techniques, 10(4):255 271. Brown, W. D. and Brewer, J. E. (1998). Nonvolatile semiconductor memory technology: a comprehensive guide to understanding and to using NVSM devices. Wiley-IEEE Press. Giova, G. (2011). digital systems. 11(1):1 9. Improving chain of custody in forensic investigation of electronic International Journal of Computer Science and Network Security, Gubanov, Y. and Afonin, O. (2014). Recovering evidence from ssd drives: Understanding trim, garbage collection and exclusions. http://ru.belkasoft.com/ download/info/ssd%20forensics%202014.pdf. Gutmann, P. (2001). Data remanence in semiconductor devices. In Proceedings of the 10th conference on USENIX Security Symposium-Volume 10, page 4. USENIX Association. Intel, C. (2010). Intel solid-state drives: An introduction. http: //www.intel.com/content/www/us/en/solid-state-drives/ intel-solid-state-drives-an-introduction.html. Marks, H. (2015). No SSD-HDD Price Parity Before 2020. http://www.networkcomputing.com/storage/ no-ssd-hdd-price-parity-before-2020/a/d-id/1320995. Micheloni, R. and Eshghi, K. (2013). Ssd architecture and pci express interface. In Inside Solid State Drives (SSDs), pages 19 45. Springer. Nisbet, A., Lawrence, S., and Ruff, M. (2013). A forensic analysis and comparison of solid state drive data retention with trim enabled file systems. In Proceedings of the 11th Australian Digital Forensics Conference. SRI Security Research Institute, Edith Cowan University, Perth, Western Australia. Olson, A. R. and Langlois, D. J. (2008). Solid state drives data reliability and lifetime. Imation White Paper. O Reilly, J. (2015). SSD Prices In A Free Fall. http://www.networkcomputing. com/storage/ssd-prices-in-a-free-fall/a/d-id/1320958. Patrizio, A. (2015). Sandisk jumps into enterprise ssd market. ITworld. Perdue, K. (2008). Wear leveling. Spansion Application Note (Wear Leveling AN 01). Skorobogatov, S. (2005). Data remanence in flash memory devices. In Cryptographic Hardware and Embedded Systems CHES 2005, pages 339 353. Springer.