Легальное извлечение данных из кэша карт памяти

Проблема
Кэшированные данные на карте памяти (остатки удалённых файлов, временные кэши приложений и файловой системы) недоступны через стандартное чтение, что препятствует полноценному форензическому анализу.

Причины
- Файловая система (FAT32/exFAT/NTFS) помечает удалённые кластеры как свободные, но физически данные сохраняются до перезаписи.
- Контроллер карты может использовать внутренний кэш и алгоритмы wear leveling, что приводит к перемещению данных и скрытию остатков.
- TRIM, сборка мусора (GC) или операция форматирования стирают только логическую разметку, но не физический кэш контроллера.
- Приложения (браузеры, ОС) создают кэш-файлы, которые часто не индексируются как обычные файлы и могут быть фрагментированы.

Решение
1. Создание битовой (raw) копии
- Используйте криминалистический копировщик: FTK Imager, Guymager, dd (Linux).
- Пример с dd:

- Запишите контрольную сумму (SHA-256).
2. Извлечение кэша файловой системы
- Sleuth Kit для анализа нераспределённых кластеров:

- TestDisk / PhotoRec – караван сигнатур (фото, документы, SQLite).
3. Извлечение кэша контроллера
- Используйте аппаратный копировщик (например, Atola Insight, Tableau Forensic) с bypass TRIM.
- Без аппаратуры: копируйте карту в режиме «посекторно» с последующим анализом результата после «провокации» контроллера (заполнение карты нулями через `dd if=/dev/zero`). Внимание: легально только на эталонной копии с согласия владельца. Метод не гарантирует доступ к внутреннему кэшу, но может выявить остатки.
4. Специализированное ПО
- R-Studio, UFS Explorer, PC-3000 Flash – работа с NAND-памятью (только при наличии лицензии и задания от уполномоченных органов).
5. Документирование
- Составьте акт изъятия/копирования, подтвердите хеш-суммы, соблюдайте цепочку хранения (chain of custody).

Легальность**
Все действия допустимы только при наличии законного основания (письменное согласие владельца, судебное решение, постановление следователя). Работа с кодом страны – РФ.