《iOS取证实战：调查、分析与移动安全》一3.5　存储器类型

3.5　存储器类型

iPhone设备有两种主要的存储器类型，易失性存储器（RAM）和非易失性存储器（NAND闪存）。这两种存储器各自提供了对设备数据的不同处理方法。

3.5.1　RAM

RAM用于系统加载、执行，以及处理操作系统、应用程序和数据的关键部分，它的数据在重启后不保存。类似于传统计算机，RAM可包含应用程序处理数据的重要信息。例如：
密码
加密密钥
用户名
应用程序数据
系统进程和服务数据
在审查调查中，获取设备RAM中存储的数据的能力是非常重要的。然而，更重要的一点是，我们必须在设备关闭或重启前去获取这些信息。尽管从标准Windows硬盘驱动器、Linux工作站甚至Android设备上都可能进行内存检查，但是目前还没有方法从一台开机状态的iPhone设备上恢复内存数据。直到2011年初，通过恢复位于/private/var/vm/sleepimage目录的“sleepimage”文件，Mac OS X才在某种程度上能够执行内存数据提取。这个文件的用途是存储系统休眠时Mac内存中的数据。当计算机被“唤醒”时，包含在sleepimage文件中的信息会重新发布到内存中，这样Mac能够回到休眠前的初始状态（Sleepimage，2010）。
2011年初，Mac Memory Reader发布。这是一个实用的命令行工具，它能够执行Mac OS设备的内存信息转储，并将结果输出到外部设备上（Valenzuela, 2011）。不过，Mac Memory Reader还不能应用在iOS设备上。

3.5.2　NAND闪存

与RAM不同，NAND闪存是非易失性的，因此在设备掉电或者重启后数据依然存在。NAND闪存不仅用来存储系统文件，也用来存储用户数据中的重要部分。
NAND闪存存储器有一些特点，这和近代硬盘驱动器中的磁性介质有很大不同。这些特点使得NAND闪存成为移动设备理想的存储器。在带给程序员许多挑战的同时，这些特点也给取证分析师带来许多机会。
首先，NAND闪存没有机械移动部件，而传统磁性介质硬盘驱动器上有旋转磁盘和磁头臂。这一特性提高了存储器的耐用性，减小了设备的尺寸，降低了设备的电量消耗。存储器由一个或多个芯片组成，这种芯片通常集成了NAND闪存和RAM，并直接集成到设备的电路板上。
其次，NAND闪存有非常高的密度，对制造商来讲是有成本的。当然，这种高存储密度使得NAND闪存很受制造商欢迎。但有一个不利因素是，受制造商制造过程和工艺的影响，NAND闪存通常会产生一些坏块。制造商在生产过程中通常会检测存储器件，并在NAND闪存中的一个特殊结构中标记坏块，这在制造商的文档中有相关描述。直接和NAND闪存交互的软件可以读取制造商的坏块标记，通常是一个坏块表，以此逻辑跟踪系统中的坏块，并在操作中移除它们。这极大地提高了坏块检测和管理的效率。因此，尽管NAND闪存物理上比旋转磁盘更加耐用，但是它的错误率更高，而且这种错误必须在开发和使用中予以记录。
NAND闪存的另一个重要的限制是其非常有限的写入/擦除使用寿命，在使用寿命结束之后块将不能存储数据。使用寿命根据设备而不同，在很大程度上受到每个NAND闪存单元中存储数据的数目影响。NAND闪存单元是存储比特1或0的中央构建基块。如果一个单元仅存储一个比特（single-level cell，SLC），那么对于一年数据保留（1-year data retension）来讲，NAND闪存支持大约100 000次写入/擦除周期。然而，NAND闪存很少使用SLC，因为制造商（和消费者）需要设备在相同大小的存储器件上进行更多的数据存储，或者让存储器件更小。NAND闪存从技术上已经迁移到多层单元（MLC），这样一个单元能够存储2比特、3比特甚至更多比特。但是，这种技术不仅使制造过程更加复杂，减慢了写入/擦除周期，也极大降低了设备的耐久性。一个典型的每单元存储2比特的MLC NAND 闪存在耐久性上减少了10倍（用一年数据保留来衡量），写入/擦除周期大约为10 000次。随着每单元比特密度的增加，耐久性持续降低，很明显，因为必须通过控制设备来进行寻址操作。
不像RAM和NOR闪存（NOR闪存也是闪存存储器件，其在系统中的典型应用是用于计算机的基本输入/输出系统，即BIOS），NAND闪存不能随机访问。相反，需要通过分配单元（称为“页”）来达到数据访问的目的。一个典型的页大小在512～2048字节，但是通常随着整个NAND闪存容量的增加，页大小也在增加。例如，一个32GB 的iPhone 4设备，每个页有8192字节。尽管不能提供像RAM那样快速随机访问，但是由于NAND 闪存不需要传统磁盘驱动器的机械磁盘和磁头臂移动，它的访问速度也是相当快的。将页组织起来形成更大的逻辑单元，称为块。典型的块大小比传统的512GB硬盘驱动器的扇区要大很多。当要向块写入时，块内的页是连续写入的。
在iPhone文件系统中，有一个称为ADDataStore.sqlitedb的文件，这个文件包含了设备中有关NAND闪存的特定细节。在早期模型中，这个数据库是空的。然而，填充之后的“标量”表将包含类似下面的信息：

NAND闪存的重要特征是读取和写入的有效操作：
读取（页）
写入（页）
擦除（块）
尽管可以读取和写入单独的页，但擦除却是运行在块级别的。擦除块时，整个的块写入全1（或者是十六进制的0xFF）。NAND闪存中擦除操作唯一的机制就是将0改为1，这点值得讨论。在传统硬盘驱动器中，如果一个值从0变为1（或者从1变成0），程序仅会搜索硬盘驱动器上的这个值，并利用适当的电压改变并存储新的值。然而，NAND 闪存的基本架构仅提供了从0变为1的机制，这种机制利用块级别（而非单个页级别）的擦除功能来实现。因此，一页仅能写入一次，如果需要改变页的值，必须擦除整个的块然后重新写入。
这里选用单字节的例子来简单说明：有一个字节，它的十进制值是179，想加上39，让其和变为218，不熟悉从十进制、十六进制及二进制之间数字转换的读者，可以使用Windows、Mac OS X、Ubuntu Linux中内置的计算器程序，这些程序都提供了程序员模式以执行这种转换。我们把以上数字在数字系统之间的转换列在表3-2中。

数值179的二进制表示包含3个0，需要将其中的2个0变为1才能表示新的数值218。但是，NAND闪存不擦除整个块就不能做这种修改。因此，如果不进行擦除就试图改变这个字节，那么得到的结果会是146，而不是218。下面是这个变化过程：

如果字节不是全1（0xFF），写周期内唯一能成功的部分是依然保持是1的比特位或者是改变为0的比特位。任何时候写入功能碰到0并且要求将这个0变为1，都将会失败，只会简单地保持原值。结果得到的字节是十六进制0x92（或十进制146），很明显这不是我们想要的。写入功能的另一种描述是：它仅能在需要时将1改变为0，这等同于两个值的逻辑与。
总之，页仅能写入一次，如果需要重新写入，就必须首先擦除整个块。
人们可以说，NAND闪存强加给开发者各种限制和局限，在这种限制中有效工作的文件系统必须是闪存感知的。已部署的两种重要技术是ECC（纠错码）和磨损均衡。这两种技术对取证和数据恢复有重要的意义。
首先，ECC可以使用算法来检测读取和写入操作时的数据错误，并立即更正这些错误。因为NAND闪存会随着使用时间而退化，所以当页或者块出现错误时，系统必须能够检测到并恢复存储在那里的数据。如果错误或操作失败次数过多（一般为3次失败操作），就会将这个页或者块标记为“坏的”并把它添加到坏块表中。
有效管理iPhone上NAND 闪存的第二个重要的算法是磨损均衡代码。磨损均衡技术将要写入的数据散布在整个NAND 闪存上，以避免过度使用单一区域，否则将使得某些块磨损得更快。建立HFS Plus（增强型分层文件系统）的目的之一就是减少对NAND的写入和擦除操作，以使得数据能尽可能久地保存。磨损均衡技术使得许多信息能够恢复。旧的数据备份并没有被删除，而只是被标记为“未分配的”。因此，即使在数天、数周或数月之前删除的数据，我们也可以通过分析iPhone敏感数据的隐藏副本来获取相关信息。在第6章将详细讨论相关的分析方法。