¿Cómo funciona TRIM en macOS High Sierra?

Dado que todas las MacBooks con Apple-SSD tienen TRIM habilitado, me preguntaba si el recorte "restablecería/prepararía" los bloques para nuevas escrituras, o dejarían los bloques allí hasta que entre una nueva escritura.

Si los bloques se restablecen/preparan antes de nuevas escrituras, ¿seguiría siendo posible la recuperación forense de los datos?

Respuestas (1)

MacOS emite el comando TRIM al controlador de la unidad de disco. A partir de ese momento, el sistema operativo no tiene control sobre el proceso. Lo que sucede es totalmente dependiente de la unidad.

Lo más común es que los bloques se marquen como no utilizados en un mapa de bits en la unidad, pero el contenido se deja solo. Para evitar la posibilidad de análisis forense, deberá enviar un comando de borrado seguro en su lugar.

Dependiendo de la unidad, eso normalmente borrará los bloques o desechará una clave de cifrado, o posiblemente ambas (normalmente en unidades Intel). El resultado final hace que sea imposible recuperar los datos que se almacenaron previamente en esos bloques.

En el segundo párrafo, afirmas que lo más común es que los contenidos se dejen solos. Sin embargo, en el tercer párrafo, usted dice que, por lo general, en las unidades Intel, los bloques se borran o se lanza la clave de cifrado (archivo).
Los MacBook están basados ​​en Intel (núcleo i5/i7) con un controlador SSD de Apple y un SSD fabricado por Samsung. ¿Se aplica el tercer párrafo?
Además, por borrado, ¿quiere decir que el SSD borra específicamente ese bloque que contiene el archivo (sin pasar por la nivelación de desgaste)? Si se arroja (elimina) la clave de cifrado, ¿es posible hacer coincidir la clave con el archivo que descifra?
Estoy con la respuesta aquí. No hay evidencia que haya visto de que macOS tenga jurisdicción o se preocupe por lo que hace el almacenamiento con datos de bajo nivel una vez que se emite un comando de recorte. No hay ninguna razón por la que cada proveedor específico y posiblemente cada firmware específico para un dispositivo determinado no pueda implementar esto de manera diferente.
@NoMoreErrors Con respecto a su primer comentario: debe leer mi respuesta nuevamente. El segundo párrafo sobre los bloques que se dejan solos es cuando se usa el comando de recorte. El tercer párrafo se refiere al escenario en el que utiliza los comandos de borrado seguro.
@NoMoreErrors Con respecto a su segundo comentario: la CPU principal no tiene nada que decir al respecto; no importa si es Intel, AMD u otra cosa. Lo único que importa es el firmware del SSD.
@NoMoreErrors Con respecto a su tercer comentario: No, las claves de cifrado no se usan en absoluto en el nivel de archivo; no hay posibilidad de "coincidir" claves con archivos específicos.
@jksoegaard agradece su seguimiento. El comando de borrado seguro al que se refiere no sería "diskutil secureerase freespace /dev/disk0/", ¿verdad? Apple dice que el borrado seguro no elimina todos los datos de forma segura y los elimina de High Sierra. Leí que la razón detrás de esto es que SE sobrescribe los datos que no funcionarán debido a la nivelación de desgaste dentro del SSD.
Estaba tratando de recuperar los bloques no utilizados usando herramientas forenses comerciales después de vaciar la papelera (la primera vez que usé un reproductor de imágenes para producir una copia de flujo de bits, la segunda vez usé el SSD en vivo en el modo de disco de destino); no pude ¿Existen limitaciones prácticas que impiden la recuperación? ¿Es cierto que debería haber accedido a la SSD directamente (desmontando el chip o conectando la placa lógica que contiene la SSD a través de SATA/PCIE/NVME) en lugar de consultar a través de la interfaz de MacOS?
La imagen de flujo de bits de todos los bloques, incluidos los no utilizados y los no asignados, debería producir resultados positivos.
@NoMoreErrors No, no me refiero a esa funcionalidad de borrado seguro en la Utilidad de Discos. Me refiero a comandos en el mismo nivel de protocolo que el comando TRIM.
@NoMoreErrors Si ha eliminado archivos y sus bloques se han RECORTADO, obviamente no podrá leer su contenido en una imagen tomada de la interfaz de disco habitual. Para eso, deberá leer los bloques SSD sin pasar directamente por el firmware del disco. Si está haciendo este tipo de preguntas, por lo general estará fuera de su alcance. ¡Contacta con un profesional!
¿Cómo funciona TRIM en macOS High Sierra?
RespuestasAquíPolítica de privacidad1y, 0v