Home Termos O que é o Garbage Collector ?

O que é o Garbage Collector ?

por - TI Forense

A — Garbage Collector — coleta de lixo  é uma função do firmware da unidade e é usada para ajudar a liberar espaço onde os arquivos foram apagados pelo sistema operacional. Para explicar mais o conceito de arquivos apagados, os arquivos apagados não desaparecerão até que a coleta de lixo redefina um bloqueio. Antes da coleta de lixo redefinir o bloco, os arquivos apagados são simplesmente marcados como espaço livre pelo sistema operacional. Esta é uma das razões pelas quais os arquivos excluídos às vezes podem ser recuperados.

Normalmente, o programa de coleta de lixo não sabe sobre os arquivos apagados até que o sistema operacional tente salvar novos arquivos sobre eles. Como o espaço com os arquivos apagados ainda não é gratuito, ele move os novos arquivos para outro local e marca os arquivos apagados anteriormente para coleta de lixo. Como os blocos são os menores grupos de dados que podem ser apagados, a coleta de lixo precisa primeiro migrar todos os dados bons do bloco para outro lugar antes de poder limpar todo o bloco. O nivelamento de desgaste pode ser iniciado neste momento, mas nem sempre.

Então, como a coleta de lixo afeta os examinadores forenses? Como a coleta de lixo é uma função da própria unidade, ela pode ocorrer sempre que a energia é fornecida à unidade e, portanto, pode ser executada, quer os examinadores forenses o queiram ou não. Isso pode significar algumas coisas. Primeiro, os hashes podem ser diferentes ao adquirir várias imagens de uma unidade, já que o recurso de coleta de lixo pode mover alguns dados e apagar outros dados da maneira que achar melhor. Segundo, os dados apagados podem não ser recuperáveis, mesmo que os dados tenham sido localizados anteriormente em blocos não alocados. Embora nem sempre seja o caso, a coleta de lixo pode começar durante uma recuperação depois de ligar o dispositivo, erradicando os dados excluídos e impossibilitando a recuperação.

Este problema é exacerbado pelo TRIM, que é uma função do sistema operacional. O TRIM ajuda o processo de coleta de lixo marcando arquivos apagados e informando que eles estão prontos para a coleta de lixo. Em vez de a unidade ter que se deparar com arquivos excluídos, ela pode se livrar deles proativamente, já que o sistema operacional o instruiu a fazê-lo. Basicamente, aumenta as chances de que a coleta de lixo ocorra em arquivos excluídos e diminui as chances de recuperar com sucesso esses dados excluídos. Do lado positivo, como TRIM é uma função do sistema operacional e não é compatível com determinados drives / sistemas operacionais, ele pode ser desativado ou simplesmente não é um fator em alguns casos forenses de SSD.

Fonte: https://www.gillware.com/digital-forensics/ssd-forensics/

Artigos Similares

Deixe seu comentário