Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.

Эпоха HDD: почему 200 МБ/с раньше хватало всем — и почему не хватает сейчас

Забегая вперёд, скорость работы классических (и очень, очень дорогих!) блокираторов от именитых производителей не поражает воображение. Скорее, наоборот: удивительно, почему их скорость  настолько низкая — за такие деньги. Прежде чем говорить о скоростях и эргономике, давайте зафиксируем, о чём идёт речь. Блокиратор записи — это аппаратный мост между исследуемым носителем и компьютером эксперта. Он штатно пропускает команды чтения, но аппаратно, на уровне контроллера, отсекает любые попытки записи на диск. Это критически важное условие для работы с цифровыми уликами, ведь даже простое монтирование файловой системы в современной ОС уже модифицирует метаданные.

Инструмент криминалиста должен быть надёжным, и для определения того, что такое «надёжность», существует стандарт, заданный американским институтом NIST в рамках программы CFTT (Computer Forensics Tool Testing). Их базовая стратегия и детальные спецификации подробно описывают, как устройство должно блокировать штатные, нестандартные и устаревшие команды, которые могут как-то изменить содержимое накопителя. Фундаментальные принципы этих тестов детально разобраны в профильных публикациях CFTT. А для быстрой проверки блокираторов в условиях обычной лаборатории многие специалисты используют готовые утилиты — например, WriteBlocking Validation Utility от CRU/WiebeTech.

С надёжностью и методиками тестирования всё понятно, но вернёмся к главному вопросу: почему так медленно? Если отмотать время на десять-пятнадцать лет назад, на рынке безраздельно властвовали магнитные жёсткие диски (HDD). Их предел при последовательном чтении редко превышал 80-150 МБ/с. Для инженеров, проектировавших криминалистическое оборудование в ту эпоху, пропускная способность внутреннего контроллера вообще не была проблемой — бутылочным горлышком оставалась механика самого накопителя. Кроме того, в те времена производители использовали популярный на тот момент стандарт USB 3.0 (он же — USB 3.2 Gen 1) с пропускной способностью до 5 Гбит/с. Этой скорости было достаточно для традиционных жёстких дисков, но уже для SATA SSD её хватало с трудом. Для подключения же современных накопителей NVMe её категорически мало. Забегая вперёд, в наших блокираторах мы использовали современные 10-гигабитные чипы даже для накопителей SATA, что дало небольшую, но приятную прибавку к скорости.

Поэтому классические блокираторы создавались с совершенно другим фокусом: на первый план выходила максимальная всеядность. Интегрировать в один массивный «чёрный ящик» разъёмы IDE, SATA, несколько портов USB, а заодно FireWire со SCSI считалось хорошим тоном. Внутренняя шина могла быть не самой производительной, но на практике этого никто не замечал: копирование терабайтного диска в любом случае занимало долгие часы. Ускорить этот процесс было физически невозможно.

Со временем ситуация изменилась. Твердотельные накопители — сначала обычные SATA SSD, а затем и всё более быстрые NVMe, постепенно вытесняли жёсткие диски. Объёмы изымаемых данных росли в разы, а скорость носителей — в десятки раз. Современные диски легко выдают гигабайты в секунду. В результате старые инженерные решения стали очевидным тормозом. Сложный универсальный контроллер, который раньше без проблем обрабатывал поток данных от разнообразных жёстких дисков, теперь заставляет эксперта ждать больше часа там, где процесс мог бы занимать минуты. Время снятия образа превратилось в критический фактор, требующий новой архитектуры.

Зоопарк интерфейсов

Если раньше всё сводилось к двум-трём типам разъёмов, то сегодня арсенал криминалиста напоминает выставку достижений компьютерного хозяйства за последние двадцать лет. На столе у эксперта могут оказаться носители самых разных форматов:

• SATA и USB — привычные накопители на каждый день;
• NVMe — современный стандарт с высокой пропускной способностью;
• Карты памяти (SD, microSD, CF и прочая экзотика) — извлекаются из смартфонов, фотоаппаратов, дронов и видеорегистраторов;
• SAS — серверный сегмент, из которого в лаборатории регулярно поступают накопители;
• IDE/PATA — казалось бы, глубокая древность, но на практике старые системные блоки всё ещё регулярно становятся объектами исследования, поэтому сбрасывать этот интерфейс со счетов пока рано.

Более того, иногда встречается экзотика от древних SCSI или FireWire до современных серверных EDSFF и U.2 и даже ленточных носителей. Сегодня мало кто из производителей закладывает поддержку устаревших носителей в новые устройства, а если такие диски и попадаются, выручают или старые рабочие станции, или механические адаптеры. Новые же серверные накопители, как правило, подключаются недорогими адаптерами к разъёмам m.2 или Oculink.

География рынка

Осознав, что эпоха медленных жёстких дисков закончилась, производители начали пробовать разные варианты. Глобально рынок разделился на два лагеря: сторонников универсальных комбайнов и адептов узкоспециализированных блокираторов. Есть и третий подход — дубликаторы с аппаратной блокировкой записи, которые и вовсе могут представлять из себя полноценный компьютер с мощным процессором Intel или AMD и встроенным экраном, который копирует данные без участия компьютера эксперта.

Универсальные блокираторы подкупают удобством: это либо солидный чёрный ящик, либо модуль для установки в 5.25-дюймовый отсек системного блока. Однако за всеядность приходится платить. Производители вынуждены использовать либо программируемые матрицы (FPGA), что сложно в реализации, дорого и имеет лимиты по скорости, либо строить устройство на базе одноплатного компьютера под управлением, как правило, Linux. Последний вариант дешевле, но и заметно медленнее.

Специализированные блокираторы компактнее. Как правило, они совместимы с единственным протоколом (SATA, NVMe или USB), даже если поддерживают несколько разных форм-факторов. У них свой собственный контроллер, который можно оптимизировать так, чтобы получить максимум скорости у конкретного интерфейса. Их можно брать с собой на выезд, а в лаборатории несколько экспертов могут одновременно работать с разными накопителями. Посмотрим, какие предложения есть на рынке.

США и Канада

Североамериканский рынок традиционно тяготеет к дорогим интегрированным решениям.

• LogiCube делает упор на универсальные станции (хотя есть и отдельные решения под USB) и сейчас активно продвигает недешёвые автономные модели.
• OpenText (Tableau) — канадская компания, один из родоначальников жанра. Предлагает как настольные, так и встраиваемые универсальные решения, а также раздельные блокираторы. Интересно, что американская Digital Intelligence, которая торгует устройствами от своего имени, сама эти устройства не производит, а занимается ребрендингом продукции Tableau.
• CRU WiebeTech — одни из немногих американцев, кто делают ставку строго на раздельные устройства (SATA, PCIe, USB).
• MediaClone специализируется исключительно на дорогих автономных дубликаторах.
• DeepSpar / Guardonix (Канада) пошли своим путём: производят только устройства для работы с USB, но с глубоким функционалом по работе с проблемными накопителями.
• Нельзя не упомянуть и ForensicSoft с их качественным, но сугубо программным решением SAFE Block.

Европа и Азия

• В Германии Sinabis предлагает раздельные варианты блокираторов для SATA и USB.
• В Китае картина гораздо пестрее. Некогда популярная SalvationDATA свела ассортимент к довольно специфическим док-станциям. Meiya Pico предлагает наборы для USB, SATA и карт памяти. Shenzhen Smile Electronics делает недорогие универсальные комбайны на базе одноплатных компьютеров — мы купили и протестировали их решение, и, к сожалению, скорость совершенно не радует. А вот SOEiT использует более продвинутую электронику на базе FPGA, предлагая в своих универсальных станциях весьма приличные скорости. Также на рынке присутствует Shenzhen CXRT с их раздельными блокираторами для SAS, PCIe и USB.

Россия

На российском рынке расклад такой:

• Комплекс PC-3000 от ACELab — мощнейший, признанный во всём мире аппаратно-программный комплекс для восстановления данных. Блокировка записи там, конечно, присутствует, но скорее как дополнительная и неторопливая функция, так как задачи у комплекса иные.
• Компания Элетек выпускает автономные копировщики. Компания пробовала делать раздельные блокираторы для SATA и USB, но сейчас их нет на сайте компании.
• Наша компания, Элкомсофт. Мы пошли по пути создания собственных раздельных блокираторов для каждого протокола: внешние и внутренние версии для SATA, отдельно — быстрые блокираторы для NVMe, и отдельно — для карт памяти (SD/NM). Наш подход прост: современные чипсеты, максимальная скорость, универсальное питание и удобная эргономика.

Немного о ценах

Вы наверняка обратили внимание, что в нашем обзоре не фигурируют цены — за исключением весьма условного деления на «дорогие» и «доступные». Это связано с тем, что цены на специализированное криминалистическое оборудование редко бывают фиксированными — чаще всего они остаются «договорными» и прячутся на сайтах производителей за формами обратной связи. Многие компании с удовольствием выставят счёт исходя не от стоимости оборудования, а из их оценки платёжеспособности заказчика. Кроме того, официально приобрести продукцию многих производителей сегодня сложно: цепочки поставок меняют итоговый ценник до неузнаваемости, иногда увеличивая начальную стоимость в разы. Поэтому в рамках этого материала мы ограничимся оценкой технологий, инженерных решений и удобства для специалиста, оставляя ценники за скобками.

Полевые испытания: мегабайты, минуты и странности

С теорией покончено, перейдём к практике. Мы закупили, одолжили и протестировали целый ряд устройств. Не будем утомлять вас громоздкими таблицами, а просто проиллюстрируем, сколько времени занимает снятие полного образа в формате RAW (т.е. без сжатия и контрольных сумм) с современного быстрого накопителя объёмом 1 ТБ (SATA SSD или NVMe) через разные блокираторы.

Начнём с доступных китайских вариантов. Модель от Shenzhen Smile Electronics (которая, по сути, представляет собой одноплатный компьютер с заблокированным USB и добавленным хабом с контроллерами) показала потолок скорости ровно в 200 МБ/с для любых интерфейсов. Итог: терабайт копируется 1 час 25 минут. Кстати, на SATA этот прибор пропускает одну экзотическую команду записи. В реальной жизни она почти не встречается, но формальный тест по методике NIST устройство проваливает.

Решение от SOEiT построено грамотнее — там установлена собственная электроника на базе матрицы FPGA. Скорость упирается в 300 МБ/с, а терабайтный образ снимается за 57 минут.

Именитые производители работают быстрее. Универсальный комбайн Tableau выдаёт стабильные 350 МБ/с на протоколах SATA и NVMe. Время снятия терабайта несжатых данных — 49 минут. Интересно, что их раздельные блокираторы работают ничуть не быстрее: на удивление, скорости там точно такие же, как в интегрированном решении.

С Logicube (модель WriteProtect-Portable) ситуация оказалась неоднозначной. Терабайт по SATA или NVMe снимается примерно за час (скорости колеблются у отметки 280-300 МБ/с), но с USB-накопителями обнаружилась проблема. Очень быстрая флешка Orico, которая на других блокираторах легко выдавала 200-300 МБ/с, здесь копировалась на скромных 85 МБ/с. При этом SATA SSD, подключённый через USB-адаптер к тому же порту, выдавал 180 МБ/с. С чем связан такой провал скорости на качественной флеш-памяти — загадка прошивки.

Что касается наших собственных блокираторов, мы использовали специализированные контроллеры для каждого протокола. Наш блокиратор для дисков SATA читает данные на скорости до 500 МБ/с — терабайт копируется за 34 минуты. Наш блокиратор для NVMe-накопителей выдаёт 900 МБ/с, справляясь с задачей всего за 19 минут.

Ниже — те же данные, сведённые в общий список.

• Shenzhen Smile Electronics (SMA-WB01): скорость упирается в 200 МБ/с для всех интерфейсов (USB, SATA, NVMe). Снятие 1 ТБ данных занимает 1 час 25 минут независимо от типа накопителя.
• SOEiT (X1S): стабильные 300 МБ/с по всем поддерживаемым протоколам (USB, SATA, NVMe). Время копирования терабайтного образа — 57 минут.
• Tableau (T356789lu): демонстрирует 280-330 МБ/с при работе с USB, а на SATA и NVMe держит уверенные 350 МБ/с. Терабайт данных копируется за 49 минут.
• Logicube (WriteProtect-Portable): скорость по USB плавает в аномальном диапазоне 85-180 МБ/с, SATA показывает 280 МБ/с, а NVMe — 300 МБ/с. Время копирования 1 ТБ: 1 час 1 минута для SATA и 57 минут для NVMe-накопителей.
• Elcomsoft (ESS-B02): поддержка USB сейчас находится на финальной стадии доводки (ожидается около 200 МБ/с*), зато специализированные модули показывают максимум: SATA выдаёт 500 МБ/с, а NVMe — 900 МБ/с. Как результат, 1 ТБ с диска SATA копируется за 34 минуты, с накопителя NVMe — за 19 минут.

E01 и контрольные суммы

Если посмотреть на таблицу, то наши адаптеры, безусловно, выглядят победителями: 19 минут — это лучше, чем час. Но мы обещали смотреть на вещи глазами практика, поэтому сделаем важную оговорку. Все тесты выше — это снятие образа в формате RAW (DD) — без сжатия и без подсчёта хэш-сумм, чтобы узнать абсолютную производительность протестированных моделей. Однако в реальных расследованиях криминалист чаще всего снимает образ в формате E01, который подразумевает сжатие данных и обязательный подсчёт контрольных сумм на лету, что меняет картину.

При снятии образа в E01 «бутылочное горлышко» перемещается с контроллера блокиратора на процессор компьютера эксперта или алгоритмы ПО для снятия образа. Слабый процессор может просто не успевать сжимать и параллельно рассчитывать контрольные суммы данных со скоростью 900 МБ/с. В результате на быстрых блокираторах просадка скорости будет гораздо заметнее, и итоговое время копирования у NVMe-модуля нашей разработки и универсального комбайна Tableau окажется довольно близким. Поможет только более быстрый процессор и (не «или!») использование оптимизированного ПО, способного использовать возможности современных процессоров для многопоточной обработки.

На что обращать внимание при выборе блокиратора

Если при снятии образа в E01 абсолютные скорости разных блокираторов пасуют перед необходимостью считать контрольные суммы и сжимать данные на лету, возникает закономерный вопрос: на что тогда обращать внимание при выборе оборудования? Разумеется, на эргономику и стандарты подключения.

Что больше всего раздражает специалиста на выезде? Множество мелких деталей, проприетарные кабели и, конечно же, питание. Громоздкие блоки питания с редкими DIN-разъёмами или круглыми коннекторами (часто визуально неразличимыми, но с разным напряжением) — проблема классическая. Добавьте к этому необходимость искать отвёртку и терять мелкие винты для фиксации накопителя, и картина станет полной.

Отдельная история — разъёмы. Многие решения от традиционных производителей поставляются с каким-то одним универсальным (а иногда и проприетарным) интерфейсом, что требует использования промежуточных адаптеров для подключения самых востребованных сегодня накопителей форм-фактора m.2. Мы пошли от обратного: в наших блокираторах NVMe основным интерфейсом сделан именно m.2, так как в реальной работе специалисты чаще всего сталкиваются именно с такими дисками. Мы посчитали, что для переходники хороши, когда нужно подключить что-то экзотическое, а для подключения стандартных накопителей лучше обойтись без них.

К слову об экзотике. Помимо привычных SATA 22-pin и плат m.2, существует устаревший форм-фактор mSATA, а также множество специфических коннекторов, которые использовались в старых ноутбуках. Для подключения таких накопителей к нашим блокираторам мы предлагаем набор проверенных переходников.

Наконец, мы решили, что современное оборудование должно быть не только быстрым, но и практичным в плане питания. Поэтому устройства нашей линейки питаются через универсальный порт USB Type-C с поддержкой стандарта Power Delivery (PD). Запитать блокиратор можно от штатного адаптера современного ноутбука или даже хорошего внешнего аккумулятора. К слову, в Европе USB-C уже стал законодательно закреплённым стандартом, и перенос этого удобного подхода в сферу криминалистического оборудования был лишь вопросом времени.

Подводя итоги: аппаратная часть решает не всё

Рынок аппаратных блокираторов сегодня достаточно широк, чтобы закрыть потребности любой лаборатории — есть решения на любой вкус, архитектуру и бюджет. Мы не пытаемся объять необъятное и сделать очередной универсальный комбайн. Наша ниша — максимальная скорость за счёт раздельных контроллеров, компактность и выверенная эргономика с универсальным питанием по стандарту USB-C PD.

В гонке мегабайтов есть важный нюанс. На практике технические преимущества даже самого быстрого аппаратного блокиратора легко нивелируются, если эксперт использует плохо оптимизированное ПО для снятия образов. Как мы уже говорили, при сжатии данных в контейнер и расчёте контрольных сумм узким местом часто становится именно программное обеспечение, которое не умеет использовать параллельные потоки и грамотно задействовать аппаратные инструкции процессора.

Чтобы оборудование не простаивало в ожидании медленных алгоритмов, мы решили закрыть и этот вопрос, выпустив собственный инструмент — Elcomsoft Disk Imager. Сейчас это абсолютно бесплатная утилита, работающая через командную строку, в которой ней нет ничего лишнего: она предельно проста, легковесна и написана с единственной целью — абсолютный максимум производительности при снятии стандартных образов (RAW или E01 с поддержкой контрольных сумм). Программа никак не привязана к нашему оборудованию и отлично работает с любыми блокираторами на рынке. В будущем мы планируем выпустить как версию с графическим интерфейсом, так и версию для Linux; разрабатывается мощный дополнительный функционал.

В конечном счёте, выбор арсенала всегда остаётся за вами. Какую философию копирования предпочесть, мириться ли с проприетарными адаптерами или переходить на Type-C — зависит исключительно от ваших задач. Мы предлагаем готовый инструментарий, который экономит самое ценное — время специалиста.

Компания Элкомсофт выражает благодарность компании ЛАН-ПРОЕКТ, ведущему поставщику оборудования для цифровой криминалистики в Российской Федерации, за предоставленные для независимого тестирования устройства Tableau и Logicube.