在NAND闪存和二进制模式识别分析是芯片数据恢复和破碎的闪存设备的数字取证分析的关键步骤。这个分析是在位图模式中进行,由于经典的进制视图不允许微量的二进制模式。显示位图模式模式是正确的,正确的页面大小应设置。
数据已经安静的高密度(熵)和横向模式,像条纹,立方体,等下面的图片代表数据行业的典型模式(数据区)内页。数据区是灰色强调。
炒(异或)数据没有典型数据模式。它看起来像一个密度非常高的噪声(白噪声熵)。
Spare area consists of bytes that define position, type and other parameters of physical blocks, ECC and others. In general, Spare area consists of following patterns
逻辑块号模式有2个字节(8位)的大小,从块到块。在下面的图片代表
逻辑页号模式有1或2个字节的大小和被篡改的页面在虚拟块。在下面的图片代表
块标头模式有1字节大小和被改变的很少,因为在NAND 95-99%的所有块用于存储数据(主要街区)和具有相同的标题。在下面的图片代表
ECC的地区有很高的密度(熵)。它看起来像噪声和无模式。有时,ECC码有一个空字节(FF)最后,像柱。
银行号码模式1字节大小和被改变的很少,因为银行的数目是由2/4 / 8/16有限。在下面的图片代表
写反模式有1字节大小和从块到块。它可能感兴趣的数字取证的目的。
误码图案看起来像“坏像素的形式污染”。在页面点误差估计数据是困难的地区,特别是如果数据加密。然而,他们在备用区清晰可见。
坏列模式的出现,与2或1个字节宽度的垂直柱。他们通常填充FFFF,0000,或任何其他的价值。