环境保护案件中SSD硬盘取证技术实务

文|夏 荣

环境犯罪作为一类新型的犯罪，面临取证难问题。环境污染案件具有其区别于一般犯罪的特点，较为突出的表现在有很强的技术性和专业性，这决定了环境犯罪侦察取证具有自身独特的侧重点，各地政法机关也为此做了大量卓有成效的工作，例如无锡法检联合发布了《关于充分发挥司法职能作用为坚决打好污染防治攻坚战提供有力保障的意见》,在原环境保护部统一指挥下，上海、石家庄等地因地制宜，纷纷开展无人机、大气防控等技术措施，着力破解环境污染案件发现晚、取证难的难题。在环境保护案件的电子数据检验鉴定取证方面，随着SSD固态硬盘被广泛使用，尤其是具备RAID功能的SSD硬盘，这种固态硬盘在读写速度和可靠性上提高了很多，但正因为这种SSD硬盘支持RAID，导致增加电子数据取证难度，不当的操作会导致数据的丢失。

工作背景

在近期一起环境保护案件中，犯罪嫌疑人使用一款Acer超薄笔记本，内含一个128L3M SSD的SSD固态硬盘,需要对整个硬盘做镜像供证据固定和分析用。在拆卸SSD硬盘后用传统的转接口和设备进行硬盘复制时发现只能识别到一个64G的硬盘。用只读接口连接取证分析软件和系统管理查看硬盘分区信息，系统会报I/O读错误，无法进行完整有效的证据固定和分析。

背景分析

SSD固态硬盘种类繁多，但不管SSD采用何种存储芯片和主控芯片，在电子数据取证中我们最关心的是SSD硬盘的物理数据接口和通信接口协议，因为物理数据接口决定了SSD硬盘是否能够物理连接到取证平台或复制机上，通讯协议决定了数据是否能相互传输。目前SSD硬盘主要有以下几种接口：

SATA接口。该接口是电子数据取证中常见的接口，也是传统的机械硬盘常用的接口。目前最常见SATA接口是SATA3,物理规范上SATA接口都是一样。最新的SATA标准是SATA4接口，但还未广泛使用在硬盘和主板中；

PCI-E接口。PCI-Express是最新的总线和接口标准，它原来的名称为“3GIO”，是由英特尔在2001年提出的，很明显英特尔的意思是它代表着下一代I/O接口标准。PCIe属于高速串行点对点双通道高带宽传输，所连接的设备分配独享通道带宽，不共享总线带宽，主要支持主动电源管理、错误报告、端对端的可靠性传输、热插拔以及服务质量(QOS)等功能。PCIe交由PCI-SIG（PCI特殊兴趣组织）认证发布后才改名为“PCI-Express”，简称“PCI-E”；

MINI PCI-E接口。MINI PCI-E 是基于PCI-E总线的接口，MINI PCI 是基于 PCI 总线的接口,两种接口在电气性能上不同，外形不同，不可混用，且每种接口都有相对应的元器件，弄错了是插不上的。MINI PCI-E插槽(52Pin),MINI PCI-E连接器广泛用笔记本电脑主板,如E-PC、Netbook及无线网卡、固态硬盘等设备；

MSATA接口。MSATA(MINI-SATA)是迷你版本SATA接口，外形和电子介面与MINI PCI-E完全相同，但电子信号不同，两者互不兼容。MSATA是SATA协会(Serial ATA International Organization;SATA-IO)开发的新的MINI-SATA(MSATA)接口控制器的产品规范，新的控制器可以让 SATA技术整合在小尺寸的装置上。同时MSATA将提供跟SATA接口标准一样的速度和可靠度，提供小尺寸CE产品(如Notebooks/Netbook)的系统开发商和制造商更高效能和符合经济效益的储存方案。

这里要重点提到的就是MSATA接口和mPCIe接口，这2个接口主要用在笔记本电脑的固态硬盘上，而上述检材中正是这种接口。MSATA接口与MINI PCI-E接口的外观相同，并且物理引脚相容，但并不能直接互通使用,这给不少电子数据检验鉴定人员带来了疑惑。

MSATA的接口外观上虽然与MINI PCI-E完全一样，但是数据信号需要连接到SATA控制器，而非PCI-E控制器上，二者因此不能兼容。大多数主板的此类接口只能使用其中一种功能。要实现一个接口同时兼容MSATA与MINI PCI-E，需要使用PCI-Express/SATA路由芯片来解决。这个芯片本质上就是一个双向多路复用器.MSATA和MINI PCI-E接口有着相同的外形和类似的引脚分配，CBTL02042通过第43针脚来识别当前插入到插槽中的是MSATA设备还是MINI PCI-E设备，MINI PCI-E设备的第43针被定义为no connect未连接，而MSATA的第43针定义是GND地线。识别设备类型后，路由芯片就能够将接口导通到对应的通道，从而实现了一个接口兼容MSATA与MINI PCI-E两种设备的目的。

因此在电子数据检验鉴定和现场取证中，需要有MSATA与MINI PCI-E接口转接到SATA硬盘的转接卡，以便和目前普遍的取证工具中用到的SATA接口兼容。目前市场中也有同时兼容MSATA和MINI PCI-E接口转接到SATA接口的转接卡，其原理如上所述。

但是，即使采用同时兼容MSATA和MINI PCI-E接口转接到SATA接口的转接卡来复制128L3M SSD的SSD固态硬盘，也只能识别到其中的64G数据。这是因为128L3M SSD SSD等系列固态硬盘是公司用于提供给ACER系列超薄笔记本电脑的专用硬盘，据ACER官网介绍，该硬盘有正反两块SSD硬盘组成，使用2组MarveⅡ的SATA Ⅲ连接到系统控制器，采用RAID0组成一块128G的SSD硬盘，连续写入速率为600 MB/s的读取速度，甚至几乎是1000MB/s。普通的主板和转接卡只能识别到其中的一组SSD，必须用如ACER的专用主板才能识别到2块SSD硬盘。

除此之外，只是识别到2组SSD硬盘还不行，即使用专用接口复制出单独的2组SSD硬盘数据镜像还是访问不了逻辑数据，必须用RAID0重组才能还原出真实的文件系统和文件。

解决方法

通过上述对128L3M等双主控SSD的研究发现，我们采用传统的拆硬盘用复制机等证据固定的设备来进行完整镜像是不可行的，而且在拆下SSD硬盘后“据说”有掉RAID0参数的可能性。建议针对这种类型的机器和硬盘采用如下方法进行证据固定：

用免拆机现场证据固定系统。就是采用如安乾数码现场取证系统中的USB启动盘或光盘启动该类笔记本电脑，利用笔记本自身的主板接口访问2组SSD硬盘，并分别做完整镜像。然后再用RAID0重组系统还原文件系统和文件。

优点：不启动嫌疑机的操作系统，不会改变原始存储介质的数据；缺点：需要对该类机器的BIOS设置熟悉，并且RAID0重组有失败的风险。

用在线取证系统。就是直接启动嫌疑机的操作系统，在嫌疑机的操作系统中采用硬盘镜像工具镜像整个RAID0硬盘。

优点：镜像出来的硬盘镜像是真实的文件系统和文件，不需要RAID0重组，操作方便简单；缺点：在嫌疑机上操作可能会破坏原始证据，同时需要操作系统的访问密码。

在双主控硬盘转接卡出现之前，针对如ACER S7等笔记本和128L3M SSD等双主控硬盘目前不能拆硬盘用复制机等方法进行镜像，只能利用笔记本自身主板的硬盘接口适配器来进行证据固定。

良好的生态环境，是最公平的公共产品，也是最普惠的民生福祉。各级政法机关加大对生态环境违法犯罪活动打击取证力度，需要多措并举，在取证的方方面面加强实践创新、理论创新、技术创新，切实提高环境保护案件的打击取证能力，彰显司法的公信力。