В статье Аппаратная блокировка записи мы рассказали о том, какие бывают блокировщики записи, как они работают и чем отличаются между собой. Сегодня мы подробно расскажем о блокираторе записи нашей собственной разработки и его преимуществах по сравнению с аналогами и о том, как добиться максимально возможной скорости снятия образа.

Коротко о блокираторах записи

Напомним, что блокираторы или блокировщики записи — программные или аппаратные средства, предотвращающие возможность случайной записи на носитель, к которому осуществляется доступ. Сегодня речь пойдёт исключительно об аппаратных блокираторах, работающих по протоколу SATA. Такой блокиратор подключается как переходник между компьютером эксперта и накопителем. В нашем блокираторе используется чип, поддерживающий подключение к компьютеру по протоколу USB3.2 Gen2 с максимальной скоростью до 10 Гбит/с; при этом обеспечивается обратная совместимость с предыдущими версиями USB вплоть до USB2.0. Блокиратором обеспечивается блокировка записи по протоколу SATA для накопителей форм-факторов 2.5″/3.5″ и m.2, а также micro SATA, mSATA и несокольких проприетарных форматов.

Более подробно о блокираторах записи читайте в статье Аппаратная блокировка записи.

Скорость снятия образа диска — это важно?

Для экспертов-криминалистов скорость снятия образа диска играет важную, хоть и не критическую роль в процессе расследования. Если скорость снятия образа с традиционных жёстких дисков мало отличается вне зависимости от используемого блокиратора, то работа с твердотельными накопителями демонстрирует кратную разницу между блокираторами разных поколений. Использование современного блокиратора позволяет существенно сократить время, необходимое для извлечения данных. Чуть ниже мы поговорим об условиях и факторах, влияющих на скорости снятия образа диска с использованием блокиратора записи.

Быстро — это сколько?

Высоким показателем считается скорость, прибоижённая к максимальной скорости чтения данных конкретной модели накопителя, но с учётом накладных расходов и ограничений порта, к которому подключён накопитель. Для твердотельных накопителей SSD, работающих по протоколу SATA, хорошим показателем будет скорость, приближающаяся к скорости интерфейса за вычетом накладных расходов. Для твердотельных накопителей с интерфейсом SATA3, подключённых через интерфейс USB3.2 Gen2, хорошей считается скорость от 450 МБ/с, отличной — порядка 500 МБ/с; скорость традиционных жёстких дисков варьируется в широких пределах. Из-за геометрии дисков и постоянной скорости вращения «блинов» максимальная скорость достигается на внешних дорожках, а на внутренних дорожках, ближе к шпинделю, скорость чтения может падать приблизительно вдвое. Отметим, что максимальной скорости невозможно достичь при подключении через более старые 5-гигабитные версии USB3.0, USB3.1 Gen1 или USB3.2 Gen1 (эти обозначения эквивалентны) в силу высоких накладных расходов.

С нашим блокиратором нам удалось достичь пиковой скорости чтения SSD в 510 МБ/с, что близко к теоретическому пределу пропускной способности интерфейса SATA. На обычных жёстких дисках мы получили скорости, вплотную приближающиеся к физическим ограничениям производительности исследованных моделей. Отметим, что такие скорости мы получили в идеальных условиях при сохранении данных на быстрый целевой накопитель без сжатия.

Сравнение производительности

В процессе тестирования мы сравнили производительность снятия образов несколькими разными программами. Обратите внимание, что при выборе любого формата с компрессией (если E01 — то с ненулевой) скорость и время снятия образа существенно зависят не только от типа компрессии, но и от содержимого диска. Скорость снятия образа будет сильно изменяться в процессе работы от максимальной (на незанятых областях, в данных — нули) до низкой (с тяжёлыми и плохо сжимаемыми данными).

Конфигурация стенда: ASUS Vivobook S16 S5606MA, Intel Core Ultra 9 185H, 32GB RAM, SSD Samsung 990 Pro 2TB, порты USB/Thunderbolt 4.

Тестовый диск, с которого снимался образ: SSD AMD Radeon R5 R5SL128G (общий объём 128ГБ, из которых свободно 10ГБ).

В OSForensics, FTK Imager и X-Ways Imager можно выбирать между несколькими уровнями сжатия. Мы провели замеры с различными уровнями компрессии, и свели их в таблицу.

Наблюдения и выводы:

• OSForensics показывает текущую скорость в процессе работы, но время нужно измерять отдельно.
• FTK Imager и X-Ways Imager не показывают скорость в процессе, но фиксируют общее время в конце.
• Включение сжатия в FTK Imager серьёзно, а в случае OSForensics — в разы, снижает скорость работы. X-Ways Imager меньше других продуктов страдает от падения производительности при включении сжатия, но и не достигает пиковых значений скорости при сохранении несжатых данных.
• При работе с форматом RAW (без сжатия) OSForensics демонстрирует лучшую производительность (480 MB/s) по сравнению с FTK Imager (360 MB/s).
• В случае формата E01 без сжатия FTK Imager немного отстает по скорости (267 MB/s) по сравнению с OSForensics (360 MB/s).
• При использовании среднего значения сжатия вперёд выходит X-Ways Imager.
• При использовании сжатия данных, производительность OSForensics значительно снижается (87 MB/s и 79 MB/s для среднего и максимального сжатия соответственно), тогда как FTK Imager и X-Ways Imager показывают более стабильные результаты, хоть и со снижением скорости по сравнению с форматом RAW.

Как добиться максимальной скорости работы блокиратора

Мы тщательно протестировали работу наших блокираторов записи в различных условиях, на стационарных и портативных компьютерах, на портах USB различных поколений и с использованием разных кабелей, и обнаружили ряд закономерностей. Поделимся основными из них.

1. Если используется ноутбук, убедитесь, что он запитан от розетки. Во многих ноутбуках при отключении от сетевого питания срабатывает механизм энергосбережения, который понижает не только частоту процессора, но и скорость работы периферии, включая USB-порт. При снятии образа диска с использованием ноутбука всегда работайте от сетевого питания.
2. Подключайте исходный диск к самому быстрому порту USB 3.2 Gen 2 (10 Гбит/с). Исходный диск — это тот накопитель, из которого извлекаются данные. Наши блокираторы поддерживают USB 3.2 Gen2; даже с учётом ограничений протокола SATA (6 Гбит/с), скоростной порт обеспечит максимально высокую скорость передачи данных по сравнению со «старыми» портами USB3.0 (5 Гбит/с).
3. Используйте кабель с поддержкой 10 Гбит/с и больше. Далеко не все кабели с «синим» коннектором USB3 поддерживают скорости, превышающие 5 Гбит/с. Используйте кабель, сертифицированный по стандарту USB3.1 Gen2, USB3.2 Gen2 или более высокому. Обратите внимание: многие кабели USB-C, предназначенные для быстрой зарядки и имеющие рейтинг до 240W, по характеристикам могут соответствовать USB 2.0. Рекомендуем использовать сертифицированные кабели USB/Thunderbolt 4 с маркировкой максимальной скорости, желательно короткие.
4. В качестве целевого диска используйте накопитель NVMe. Подключите его через быстрый порт с минимальной скоростью 10 Гбит/с. Целевой диск — это тот накопитель, на который будет записан созданный образ. Накопители NVMe имеют значительно более высокую скорость чтения (в нашем случае — и записи) по сравнению с традиционными дисками и даже SSD с протоколом SATA. Это важно, т.к. скорость чтения данных в рамках конкретной технологии, как правило, превышает скорость записи. Использование быстрого NVME-накопителя позволит избавиться от узкого места в виде ограничений на скорость записи.
5. Свободное пространство на целевом диске не менее 2/3 от общего объема. Большое количество свободного места на целевом диске важно по двум причинам. Во-первых, при снятии образа диска всегда образуются накладные расходы (заголовки, метаданные, контрольные суммы и т.п.), для хранения которых потребуется пусть небольшое, но дополнительное пространство. Более важно то, что при записи на твердотельный накопитель в силу ограничений технологии максимальная скорость возможна только при наличии свободного «буферного» пространства. Большинство SSD демонстрируют крайне низкую скорость записи, если на диске заканчивается свободное место. Если же в качестве целевого накопителя используется традиционный жёсткий диск, наличие свободного пространства поможет справиться с замедлением записи из-за фрагментации файловой системы.
6. После включения компьютера — подождите до 10 минут. Это время необходимо для завершения всех фоновых процессов загрузки и стабилизации работы системы.
7. Убедитесь, что в фоновом режиме нет интенсивной работы с диском. Работа фоновых задач, интенсивно работающих с дисками (например, установка очередного обновления Windows), может значительно снизить скорость создания образа.
8. Приостановка индексирования и встроенного антивируса. Индексирование поиска оказывает минимальное влияние на скорость работы, но встроенный в Windows антивирус способен сильно замедлить работу. Рекомендуем приостановить работу встроенного антивируса (индексирование стоит приостанавливать только в случаях интенсивных дисковых операций).
9. Имейте в виду, что предотвратить выполнение операции TRIM на исходном SSD невозможно. Никакие блокираторы записи не способны предотвратить уничтожение данных, выполняющееся по ранее выполненным командам TRIM. Если есть подозрение, что диск был отформатирован (или данные с него были удалены) в течение нескольких секунд перед его обесточиванием и извлечением, не подключайте такой накопитель и не подавайте на него питания. Вместо этого используйте специализированные средства доступа через заводской режим.

Это ещё не всё!

Есть ещё несколько соображений, которые не являются обязательными требованиями.

Объёмы и скорости

На сегодняшний день самым распространённым объёмом SSD (на которых и можно получить максимальную скорость) является 1 или 2 ТБ. Если использовать наш блокиратор, время копирования 2 ТБ будет немногим более часа. С устаревшим блокиратором или при невыполнении условий выше – уже 2-3 часа. Если же работа ведётся с обычным жёстким диском (HDD), большой разницы в скорости работы вы, скорее всего, не увидите вне зависимости от используемого ПО, формата данных и блокиратора (поскольку самой медленной операцией там является само чтение с диска).

Состояние оборудования

Максимальные скорости могут быть достигнуты только на достаточно современном оборудовании и в оптимальных условиях. В ряде случаев доступного оборудования, соответствующего таким требованиям, может не оказаться, что ограничивает возможность достижения максимальных скоростей.

Форматы образов

Предпочтительным форматом для создания образов в криминалистике является .e01 с настройками сжатия по умолчанию. Использование сжатия позволяет уменьшить объём данных, что облегчает их последующую транспортировку и хранение. Формат dd/raw используется реже из-за его большого размера.

Операции TRIM на SSD

Повторное создание посекторного образа SSD может дать другой результат контрольной суммы из-за фоновой работы операций TRIM («сборка мусора»), которая может изменить данные на диске. Это важно учитывать при многократном снятии образа.

С технической точки зрения это выглядит следующим образом. Если попытаться считать данные из ячеек, на которые уже поступила команда TRIM, но которые ещё не были физически очищены, то результат будет зависеть от реализации механизма «данные после TRIM» в конкретной модели накопителя. Современный SSD может работать в одном из трёх режимов:

1. Non-deterministic Trim: неопределённое состояние. Контроллер может вернуть фактические данные, нули или что-то ещё, причём результат может различаться между попытками (SATA Word 169 bit 0). В настоящее время почти не встречается, хотя безымянные китайские накопители могут удивить.
2. Deterministic Trim (DRAT): контроллер гарантированно возвращает одно и то же значение (чаще всего, но не обязательно, это будут нули) для всех ячеек после команды TRIM (SATA Word 69 bit 14). Самый распространённый вариант.
3. Deterministic Read Zero after Trim (DZAT): гарантированное возвращение нулей после Trim (SATA Word 69 bit 5). Часто встречается в дисках, предназначенных для работы в составе RAID массивов.

Программное обеспечение

Используемое для создания образа программное обеспечение оказывает не меньшее влияние на скорость работы, чем выбор блокиратора записи. При выборе программного обеспечения стоит обратить внимание на следующие продукты:

• OSForensics: демонстрирует лучшие результаты со скоростью около 500 МБ/с на SATA SSD, но только при отсутствии сжатия.
• FTK Imager, Arsenal Image Mounter, WinHex и другие: скорость не превышает 350 МБ/с в любых условиях, однако при сохранении данных с компрессией опережает OSForensics.

Формат данных

Выбор формата данных, в котором будет сохранён снятый с целевого диска образ, не менее важен, чем используемое для работы ПО.

Создание образа диска обычно происходит только в тех форматах, которые мы уже упомянули, и для которых делали замеры скорости – RAW (сырой, «побитовая» копия) или EnCase E01. Другие форматы (EWF, AFF, AFF4) мы не рассматривали именно по этой причине – они используются уже при работе с разнородными данными (напрмер, когда в рамках задачи требуется хранить и обрабатывать несколько образов из разных источников). Несмотря на это, некоторые из рассмотренных нами программ поддерживают снятие образов непосредственено в AFF или более современный AFF4.

Интересным вариантом является также снятие образа в форматах виртуальных машин (в этом плане безусловным фаворитом является Arsenal Image Mounter; в других программах нужный функционал встречается нечасто), что даёт возможность в дальнейшем загружать и исследовать фактически «живую» систему, при этом не модифицируя источник данных; загрузка с носителя, заблокированного от записи, возможна далеко не всегда, так что создание образа всё равно необходимо.

Мы сформулировали ряд советов по выбору формата для работы с образами дисков.

Формат RAW

Самый простой формат, данные в котором легко и быстро получить, но с двумя серьёзными недостатками: образ диска занимает столько места, какого объёма носитель (даже если пустой); и не предусмотрено хранение метаданных (их придётся сохранять в отдельный файл), в том числе конрольных сумм.

• Использовать:
• • Когда нужна максимальная совместимость и универсальность
  • Когда требуется максимальная скорость снятия данных
  • Когда исходный диск почти полный
  • В случаях, где компрессия не требуется или нецелесообразна
• Не использовать:
  • Если важны метаданные в заголовке файла

Формат E01

Наиболее распространённый и достаточно универсальный формат с хорошей совместимостью и возможностью компрессии; хранение метаданных предусмотрено (хотя и не идеально). Разработан и внёдрён компанией Guidance Software; достаточно неплохо документирован.

• Использовать:
  • Когда на исходном диске много свободного пространства или файлы хорошо сжимаются
  • Когда в нормативных документах указано использование E01
  • В ситуациях, где важны метаданные в заголовке файла, при условии, что используемое ПО корректно записывает необходимые данные
• Не использовать:
  • Когда исходный диск почти полный, так как компрессия может оказаться неэффективной и процесс создания образа будет затруднен
  • В случае, если компрессия не требуется

Формат AFF4

AFF4 — перспективный формат с открытым исходным кодом с быстрой качественной компрессией; из протестированных программ поддерживается только в OSForensics.

• Использовать:
  • В ситуациях, где требуется современное решение
  • Когда нужна более гибкая работа с метаданными и улучшенная производительность
• Не использовать:
  • В случаях, когда нормативными документами предписан другой формат (например, E01)
  • Когда планируется работа только с одним носителем данных
  • Когда нужна максимальная совместимость со продуктами для анализа данных

Формат EWF

Expert Witness Compression Format (EWF) — формат, не получивший широкого распространения в силу существенных недостатков; не поддерживается ни в одной из протестированных программ.

• Не использовать:
  • Формат не получил достаточного распространения и поддержки, поэтому его использование может быть ограничено

Мы не замеряли производительность снятия образа для форматов AFF4 и EWF, поскольку только RAW и E01 обладают достаточной универсальностью и совместимостью. В протестированных нами программах поддержки EWF нет вообще, а AFF4 поддерживается только в OSForensics, что лишает такое сравнение смысла. Таким образом, при выборе формата для создания образа диска необходимо учитывать состояние и заполненность исходного диска, организационные требования и необходимость в метаданных.

Дополнительные аспекты

Текущая ситуация с HDD и SSD: На данный момент большинство дисков, с которыми приходится работать (снимать образы в первую очередь) — обычные жёсткие диски (HDD), поэтому вопрос со скоростями пока не очень острый. Но чем дальше, тем чаще эксперты будут сталкиваться с SSD, причём объём таких дисков будет только возрастать. Соответственно, имеет смысл заранее озаботиться блокиратором с максимальной производительностью.

Работа с многодисковыми массивами и NAS: Из-за больших объёмов данных чаще проводится не полноценное экспертное исследование, а «осмотр» (иногда на месте). Если же данные необходимо исследовать, то потребуется снять образы всех дисков, после чего собрать массив из снятых образов программным способом.

Заключение

Достижение максимальной скорости создания образа диска требует соблюдения ряда условий и использования современного оборудования и программного обеспечения. Внедрение этих рекомендаций позволит значительно сократить время на снятие образов.