论文中针对覆写技术的研究（部分）

注意看到吗？ windows XP 以前的操作系统，可以进行数据 恢复的尝试，如果是WINdows 7及后续的操作系统，则应把取证的重点放在未删除的数据上。

为什么，因为 从 windows 7 开始，操作系统支持 SSD 的 TRIM 指令，支持这个指令的结果就是主控后台把标记为删除的块清空，连警方都不去尝试做数据恢复了。

[此贴子已经被作者于2022-8-28 13:09编辑过]

11楼，多次覆写
第一段前二个字，磁盘。
这个是什么，机械硬盘属于磁盘，缩写 HDD

那SSD属于磁盘吗？不属于，所以你11楼的文章不适用 SSD 。

如果 你去看 装什么系统 推荐什么硬盘，就会发现，推荐装 Windows 7的系统，才会推荐SSD ，也就是这个原因。
如果 XP 使用SSD，就会发现速度与 HDD相比，没多少改变，因XP不支持 TRIM 指令，当需要使用一个新的块时，发现只剩下脏块，那系统就只能等 把一个脏块清零变成干净块，然后再重新写数据，
在这个等待过程中，就明显的会拉慢速度。

针对 windows 7 以上的系统，现在的SSD，特别是 NVME 协议，不带缓存的SSD，会使用全盘模拟  SLC ，缓存过程中会使用所有空白块，当不缓存数据写入完成后，缓存的块都变成了脏块，都需要清零，这个过程中，还需要覆写干嘛，都已被自动覆盖了。对是 SATA 协议的SSD，有些是全盘模拟 SLC，有些是固定容量模拟SLC，不能一概而定。但有一点可以肯定的，支持 TRIM 指令后，主控会自动清块，不需要再去覆盖了，因为数据已经没有了。

设备发明出来后就不一样了。

这个链接看一下：https://blog.

TRIM 指令分二步，
第一步，标记为删除
第二步，清零。

这个文章里也写了，针对 没有完成第二步的 数据进行恢复。没有进行第二次的，WINHEX 就可以啊，直接读块的内容就行。
进行了第二次步， SRS6900 很多时候也无能为力 。看 友情提示。
因为TRIM是在后台由主控操作清零，时间越长，被清零的可能性越高，能恢复的概率也就降低。
-----------
这里就是反应一个问题，OS 支持 TRIM 指令，SSD 支持 TRIM 指令，二者配合后，删除的文件留下的脏块， 当SSD空闲时，就会立即清零的。
根据这个文章的设定，这个 TRIM 删除数据恢复，适用什么情况呢？
1、查获时，正在删除文件，然后立即断电。
2、删完文件，然后立即关机，然后一直没通电，直接查获。

--------
针对 SSD 反取证，很简单，
删除文件后，电脑继续通电，不要再读写SSD，过一段时间后，SSD后台就自动清零了。

我查询了我电脑SSD硬盘的TRIM情况，TRIM默认是开启的


但不确定是不是所有型号SSD的TRIM都默认是开启的。


附：

fsutil behavior query disabledeletenotify-----查询TRIM启用情况，结果为0代表开启，结果为1代表关闭
fsutil behavior set disabledeletenotify 0-----开启TRIM
fsutil behavior set disabledeletenotify 1-----关闭TRIM

[此贴子已经被作者于2022-8-29 15:40编辑过]

是的，WIN7 开始，默认就是开启了 TRIM，一般情况不用去管它。
现在的 SSD 一般都支持 TRIM 指令。因为这个指令会加快 SSD 的写入速度。还有 SLC 模拟缓存，也需要使用到这个指令，而SLC模拟缓存是在无专用缓存芯片的SSD上的加快写入速度立竿见影的方案。

什么情况下要管呢？
你的系统（WIN7及以上）原来是做在 HDD 上的，然后直接克隆到 SSD 上，就需要关注一下这个问题。