数字取证: 使用写保护器和不同镜像工具对磁盘镜像速度有何影响？

在数字取证领域，正确处理磁盘镜像任务对于保持数据完整性至关重要。使用写保护器可确保在镜像过程中原始数据不被修改，这是维持证据链完整性的关键要求。影响磁盘镜像过程效率和速度的因素众多，本文将提供一些高级技巧和注意事项，帮助实现最佳性能。
写保护器简述
简而言之，写保护器是用于防止对正在镜像的磁盘中原始证据进行意外修改的软件或硬件工具。本文将仅聚焦于基于 SATA 的硬件写保护器。这类写保护器经常作为取证专家的计算机与被镜像存储设备之间的中介。本文将重点介绍搭载现代 10 Gbps 芯片、支持 USB 3.2 Gen2 连接并保持向下兼容至 USB 2.0 的最新代写保护器。该项测试聚焦于 2.5 英寸/3.5 英寸和 M.2 规格的 SATA 存储设备的磁盘镜像性能。
镜像速度重要吗？
磁盘镜像速度虽然重要，但并非关键因素。不同写保护器对机械硬盘的镜像速度差异不大，但在更快的固态硬盘上，性能差异则更为明显。使用配备最新一代芯片组的现代写保护器，可以大幅缩短数据提取所需的时间。
多快才算快？
高镜像速度是指接近特定存储设备最大读取速度的速度，需考虑开销和端口限制。对于通过 SATA 协议运行的 SSD，良好的速度接近接口速度减去开销成本。对于连接到 USB3.2 Gen2 端口的 SATA3 SSD，良好的镜像速度约为 450 MB/s，而优秀的速度则接近 500 MB/s。机械硬盘的速度差异很大。由于其硬件设计，最大读取速度在镜像过程开始时出现在盘片外圈，而在磁盘末尾会显著下降。请注意，这些最大速度无法通过旧式 USB 连接（如 USB3.0、USB3.1 Gen1 或 USB3.2 Gen1）实现，因为开销会严重降低数据传输速率。


使用写保护器的情况下，不同镜像工具的性能对比
在测试过程中，我们使用同一磁盘和一款支持 10 Gbps 的硬件写保护器，对比了几种镜像程序的性能。值得注意的是，启用数据压缩可能会显著影响镜像速度，这很大程度上取决于压缩类型和磁盘内容。
测试配置：
工作站：华硕 Vivobook S16 S5606MA，英特尔酷睿 Ultra 9 185H，32GB RAM，三星990 Pro 2TB SSD，USB/Thunderbolt 4 端口。
测试磁盘：AMD Radeon R5 R5SL128G SSD（总容量128GB，可用空间10GB）。
使用 OSForensics 和 X-Ways Imager 测试了镜像性能，并选择了不同的压缩级别。结果汇总如下表。


观察结果:
OSForensics
镜像时显示当前速度，但总时间需单独测量。RAW 格式性能最佳（480 MB/s）。启用压缩后性能下降（中等和最大压缩分别为87 MB/s和79 MB/s）。
X-Ways Imager：
不显示当前速度，但记录总时间。启用压缩后性能略有下降。镜像到 RAW 文件时速度不及 OSForensics 的峰值速度。
使用压缩时，X-Ways Imager 总体表现略优于 OSForensics。然而，使用未压缩的 RAW 时，OSForensics 表现出最佳性能，达到 480 MB/s。
性能总结:
RAW 格式
OSForensics: 480 MB/sX-Ways Imager: 表现稳定，但速度不及 OSForensics
E01 格式（无压缩）
OSForensics: 360 MB/s
压缩格式
OSForensics: 减速（87 MB/s 和 79 MB/s）X-Ways Imager: 中等压缩下表现较好
测试表明，镜像工具和压缩设置的选择会极大地影响镜像速度。如果追求最快的性能，尤其是在未压缩的 RAW 数据方面，OSForensics 是最佳选择。然而，对于压缩格式下的更好性能，X-Ways Imager 则领先。
如何最大化磁盘镜像性能——实现最佳性能的关键技巧
通过在桌面和便携式环境中、跨不同代 USB 端口并使用各种电缆进行的多次测试，总结出了以下实现最佳性能的关键建议：
使用接通电源的笔记本电脑
如果使用笔记本电脑，请确保其已连接电源。许多笔记本在电池供电时会降低USB供电和总线速度。进行磁盘镜像时，务必连接交流电源以避免进入省电模式。
连接到最快的可用USB端口
使用最快的可用USB端口，最好是USB 3.2 Gen 2（10 Gbps）或更快。这确保了最高的数据传输速度，足以达到SATA协议6 Gbps的极限。尽量避免使用旧的USB 3.0（5 Gbps）端口。
使用高质量线缆
并非所有USB 3电缆都支持超过5 Gbps的速度。请使用经过USB 3.1 Gen 2、USB 3.2 Gen 2或更高标准认证的电缆，最好标有速度标识。注意许多快速充电USB-C电缆仅支持USB 2.0速度。选择标有最大速度的认证USB/Thunderbolt 4电缆，并优先选择较短的电缆以获得更好性能。
使用NVMe SSD作为目标驱动器
使用NVMe SSD作为目标驱动器，可以安装在M.2插槽或通过10 Gbps或更快的USB端口连接。与传统的机械硬盘和SATA SSD相比，NVMe SSD提供更高的写入速度，可防止目标驱动器成为瓶颈。
确保目标驱动器有充足可用空间
镜像前，确保目标驱动器有足够的可用空间。对于SSD，充足的可用空间至关重要，因为它可以实现更高的写入速度，并避免驱动器接近满载时出现的性能下降。机械硬盘也需要更多可用空间以避免因文件系统碎片导致的减速。
计算机启动后等待系统稳定
开机后等待约10分钟，让所有后台进程完成且系统稳定下来。
最小化后台磁盘活动
确保没有正在运行的磁盘密集型后台任务（例如Windows更新），这会显著降低镜像速度。
暂停索引和杀毒软件
Windows搜索索引对性能影响很小，但杀毒软件会大大减慢进程。我们发现，在磁盘镜像期间临时暂停内置的Windows Defender有助于提升某些系统上的镜像速度。
警惕源 SSD 上的 TRIM 指令
写保护器无法防止由磁盘内部垃圾回收和TRIM处理导致的数据丢失。虽然不会有新的TRIM指令通过写保护器，但后台垃圾回收是不可避免的。如果SSD最近被格式化或删除了大量数据，请避免为其通电，而应使用工厂模式下的专用访问工具以防止进一步的数据丢失。
进阶考量
在使用写保护器对硬盘进行镜像时，还有一些额外的注意事项可以提升性能，即使它们并非严格要求。
容量与速度考量
目前最常见的SSD容量是1TB或2TB。使用现代写保护器，复制2TB数据可能只需一个多小时。而使用旧的写保护器或不遵循最佳条件，此过程可能轻易需要2到3小时。对于机械硬盘，读取速度要慢得多，因此不同写保护器或软件之间的性能差异应较小。
请注意，容量较小的 SSD 通常比大容量型号慢，这是由于并行性降低。此外，磨损较高（写入次数较多）的 SSD 可能会因内部数据纠错算法的开销而出现随机减速。最后，同等容量的旧式SSD可能比现代型号更快或更慢，这取决于所用技术（MLC、平面TLC、3D TLC或QLC NAND）以及安装的NAND芯片数量（这等同于并行性，影响读写速度）。
镜像格式
在取证镜像中，最常用的格式是采用默认压缩设置的.e01。当需要存储多个磁盘镜像时，压缩很有帮助。dd/raw格式由于缺乏压缩且文件体积庞大，使用较少。
RAW格式
适用场景：
需要最大兼容性和灵活性时。需要最快的数据提取速度时。源磁盘几乎已满时。无需压缩时。避免场景：
必须使用E01格式时。文件头中的元数据很重要时。需要压缩时。z
E01格式
适用场景：
源磁盘有大量可用空间或文件易于压缩时。必须使用E01格式时。文件头元数据至关重要时。避免场景：
源磁盘几乎已满，压缩无效且使镜像创建复杂化时。无需压缩时。AFF4格式
适用场景：
追求现代解决方案时。需要更灵活的元数据处理和更高的性能时。避免场景：
必须使用E01格式时。您的取证分析工具不支持AFF4格式时。
EWF格式：
避免场景：
此格式未得到广泛支持，可能会限制可用性。
结论
实现最大镜像速度需要满足多个条件并使用合适的设备和软件。遵循这些建议可以显著减少磁盘镜像所需的时间。