Dijital adli bilişim dünyası, son on yılda mekanik disklerden katı hal sürücülerine geçişle birlikte devasa bir değişim yaşadı. Eski günlerde bir dosyayı silmek, sadece dosya sistemindeki “indeks” bilgisini kaldırmak demekti. Verinin kendisi, üzerine yeni bir şey yazılana kadar disk plakalarında fiziksel olarak kalmaya devam ederdi. Ancak SSD’lerin çalışma prensibi, bu geleneksel veri kurtarma mantığını tamamen altüst etti. Bugün bir SSD üzerinde inceleme yapan uzmanın karşısına çıkan en büyük engellerin başında ise TRIM komutu ve bu komutun uygulanma biçimleri olan DRAT ve DZAT geliyor.
TRIM, SSD ve HDD Arasındaki Temel Farkı Nerede Oluşturuyor?
SSD’lerin kalbinde yer alan NAND flaş bellekler, veriyi manyetik diskler gibi doğrudan üzerine yazamazlar. Bir hücreye yeni veri yazılabilmesi için o hücrenin önce boşaltılması (silinmesi) gerekir. Ancak SSD’ler veriyi sayfa bazında yazar, blok bazında siler. Bu durum, yazma yükseltmesi (write amplification) denilen ve sürücünün performansını düşüren bir soruna yol açar.
İşletim sistemi, bir dosya silindiğinde SSD’ye “Bu adreslerdeki verilere artık ihtiyacım yok” mesajını gönderir. İşte bu mesajın adı TRIM komutudur. TRIM, SSD kontrolcüsüne hangi veri bloklarının artık geçersiz olduğunu bildirerek, sürücünün arka planda temizlik yapmasına olanak tanır. Adli bilişim açısından kritik nokta şudur: TRIM komutu gönderildiği an, verinin geri döndürülemez bir sürece girmesi kaçınılmazdır.
TRIM Komutu Sonrası Veriler Kurtarılabilir Mi?
Bir uzman SSD imajı aldığında, TRIM komutu uygulanmış bir alandan ne okuyacağı, sürücünün kontrolcüsüne ve donanım standartlarına bağlıdır. Burada karşımıza üç farklı senaryo çıkar:
- Tanımsız (Undefined) Mod: Eski veya ucuz SSD’lerde görülür. TRIM komutu sonrası ilgili sektörden veri okumaya çalıştığınızda karşınıza ne çıkacağı belli olmaz. Bazen eski verinin bir kısmını, bazen rastgele verileri, bazen de sıfırları görürsünüz. Bu durum adli bilişimde “tekrarlanabilirlik” ilkesini bozar; aynı diskin iki farklı imajı farklı hash değerleri verebilir.
- DRAT (Deterministic Read After TRIM): Modern NVMe sürücülerinin çoğunda bulunan bu modda, TRIM uygulanan bir blok okunduğunda sürücü her zaman aynı sonucu (genellikle sıfır) döndürür. Veri NAND hücrelerinde fiziksel olarak henüz silinmemiş olsa bile, kontrolcü size o veriyi göstermeyi reddeder.
- DZAT (Deterministic Zeroes After TRIM): Bu, standardın en katı halidir. Sürücü, TRIM komutu alan her sektörün okunduğunda “mutlaka” sıfır döneceğini garanti eder. Özellikle RAID yapılandırmalarında sistemin tutarlılığı için DZAT desteği kritik önem taşır.
RAID Dünyasında DZAT’ın Önemi Nedir?
RAID 5 veya RAID 6 gibi parite temelli yapılarda, boş alanların ne içerdiği hayati önem taşır. Eğer bir SSD, TRIM edilen alanlarda “belirsiz” veriler döndürürse, parite hesaplamaları bozulur ve bu da sistemin performansını dramatik şekilde düşürür. Bu yüzden profesyonel NAS ve sunucu üreticileri, sadece DZAT desteği olan SSD’lerin kullanılmasını önerir. Örneğin, bir WD Blue (DRAT destekli) ile WD Red (DZAT destekli) arasındaki fark sadece bir etiket değil, arka planda çalışan yazılımın veriyi ele alış biçimidir.
SSD’lerden Veri Kurtarmak Gerçekten Mümkün Mü?
SSD üzerinde “silinen dosyaları kurtarma” vaadi, TRIM aktif olduğu sürece çoğu zaman boştur. İşletim sistemi TRIM komutunu gönderdikten milisaniyeler sonra, kontrolcü o veriyi erişime kapatır. Standart yazılımlarla yapılan bir imaj alma işleminde sadece sıfırlardan oluşan bir dosya elde edersiniz.
Peki, veri fiziksel olarak hala NAND hücrelerinde duruyor olabilir mi? Evet, ancak bu veriye ulaşmak için standart SATA/NVMe arayüzlerini bypass etmek gerekir. Bu da sürücüyü “fabrika moduna” sokmayı, özel donanımlar (PC-3000 gibi) kullanmayı ve kontrolcünün haritalama tablosunu manuel olarak yeniden oluşturmayı gerektirir. Bu işlem hem çok maliyetlidir hem de her zaman başarı garantisi vermez.
Yazma Engelleyiciler ve TRIM Tuzağı
Adli bilişimde altın kural, delil diske asla yazmamaktır. Ancak ilginç bir detay var: Bazı donanımsal yazma engelleyiciler, standart “yazma” (write) komutlarını engellerken, bir yönetim komutu olan “TRIM” (veya ATA Discard) komutunu gözden kaçırabilir. Eğer inceleme makineniz diski bağladığınız anda otomatik bir temizlik veya indeksleme işlemi yaparsa ve yazma engelleyiciniz TRIM komutunu geçirmesine izin verirse, veriler gözlerinizin önünde yok olabilir. Bu nedenle kullanılan ekipmanın TRIM komutlarını engellediğinden emin olmak için düzenli testler yapılması şarttır.
Sonuç ve Değerlendirme
SSD teknolojisindeki hızlı gelişim, veri saklama performansını artırırken adli bilişim süreçlerini zorlaştırıyor. TRIM, DRAT ve DZAT gibi kavramlar artık sadece donanım mühendislerinin değil, dijital dedektiflerin de temel bilgisi olmak zorunda.
Özetle, bir SSD incelemesinde karşınıza “sıfırlanmış” bir alan çıktığında, bu her zaman kullanıcının veriyi güvenli bir şekilde sildiği anlamına gelmez; çoğu zaman işletim sisteminin rutin performans optimizasyonunun (TRIM) bir sonucudur. Modern dijital dünyada delil toplamak, artık sadece “imaj al ve tara” işlemi değil, sürücünün iç mantığını ve kontrolcü davranışlarını anlama sanatıdır. Eğer hızlı davranmazsanız, SSD’nin kendi içindeki “çöp toplama” mekanizması, en kritik kanıtı siz daha diski bağlamadan yok etmiş olabilir.
Kaynak: Elcomsoft Blog