Uma questão que eventualmente me perguntam é sobre qual a melhor ferramenta para produção de imagens forenses de mídias. Sempre respondo que se deve utilizar aquela com a qual você estiver mais familiarizado, que atenda as suas necessidades, que esteja de acordo com os recursos que você possui e com os procedimentos para utilizá-las. A escolha de uma ferramenta de duplicação pericial é uma decisão que deve envolver todo o corpo técnico que realiza essa tarefa, de modo que possa ser discutida, testada e aprovada em consenso. O resultado dessa escolha deve ser adotado como padrão e documentado em um procedimento operacional padrão (POP), apontando inclusive caminhos e alternativas para o caso de se depararem com problemas durante sua realização.
Realizamos um teste comparativo de desempenho entre algumas das opções utilizadas por nós, entretanto gostaria de ressaltar alguns fatores que são determinantes no tempo de execução da tarefa. Esses fatores envolvem aspectos tanto do hardware e softwares utilizados quanto da mídia a ser duplicada, conforme vemos a seguir:
- Equipamento e sistema utilizado na duplicação
- Capacidade de processamento e memória é essencial no processo de duplicação;
- Quanto menos softwares instalados na estação utilizada na duplicação, melhor. Preferivelmente mantenha instalado apenas o sistema operacional e o software de duplicação. Instalações saturadas tendem a manter processos concorrentes que utilizam recursos de processamento e memória, degradando a performance;
- Configuração do sistema operacional em relação às atualizações e conexão à internet podem produzir processamento paralelo e consequentemente interferir no desempenho;
- Drivers de dispositivo adequados e cabos de conexão com as mídias em bom estado;
- A compactação do arquivo de imagem aumenta o tempo de produção da imagem;
- O cálculo do HASH e o algoritmo utilizado também impactam na performance.
- Mídia a ser duplicada
- A capacidade de armazenamento da mídia influi diretamente no tempo de execução da imagem;
- Caso a mídia suspeita possua áreas de disco com danos físicos, certamente teremos uma queda de rendimento nos trechos danificados.
Os testes apresentados a seguir, foram realizados utilizando os recursos disponíveis na Coordenação de Computação Forense, integrante do Departamento de Polícia Técnica do Estado da Bahia, conforme listados a seguir:
- Estação Pericial composta por um processador Intel Quad Core (Q6600 2.4 GHz), 4 GB memória RAM, 2,5 TB de discos rígidos (1×500 GB + 2x1TB), Microsoft Windows 7 Ultimate 64 bits.
- Os softwares instalados eram o Microsoft Windows 7, o Encase 6.19.1.5 da Guidance Software, o FTK Imager 3.0.1.1.467 da AccessData e o Tableau Imager 1.11 da Tableau. Para não comprometer a performance não foi instalado antivírus e desabilitada a interface de rede, bloqueando acesso à internet de forma a não executar processos de atualização durante a realização das imagens.
- Bloqueador de escrita T35es da Tableau.
- Duplicador de discos Image MASSter Solo4 da Intelligent Computer Solutions.
O bloqueador de escrita foi conectado à estação pericial através de um cabo firewire (IEEE 1394) 400/800. Em todos os casos testados o formato da imagem foi o E01 do Encase, dividido em blocos de 2 GB. Foram realizadas imagens de dois dispositivo, um disco rígido SATA SAMSUNG HD161HJ de 160 GB de capacidade nominal e um disco rígido SATA SAMSUNG HD080HJ de 80 GB de capacidade nominal, ambos em perfeitas condições de uso. Em todos os casos as imagens foram produzidas de duas maneiras distintas, sendo a primeira sem compactação de dados e a segunda com compactação de dados em grau máximo.
O primeiro teste realizado foi com o Encase, nossa ferramenta padrão de análise de mídias. A Guidance não oferece um utilitário à parte para o ambiente Windows e sim integrado à interface de trabalho do Encase. Assim para realizarmos a imagem é necessária a criação de um caso, a anexação do dispositivo de armazenamento suspeito e a aquisição da imagem pericial. O segundo teste foi realizado com o Tableau Imager da Tableau, utilitário gratuito específico para a realização de duplicações periciais, entretanto, só realiza imagens de dispositivos protegidos por bloqueadores de escrita da Tableau. Em seguida utilizamos o FTK Imager, também gratuito e desenvolvido para esta destinação. Finalmente com o Image Masster Solo 4, hardware de duplicação. Os resultados alcançados foram planilhados e listados conforme vemos na planilha a seguir.
Dentre todos os recursos utilizados o Image Masster Solo 4 apresentou a pior performance quando realizava imagem no formato do Encase com compactação máxima, chegando a oito vezes o tempo de realização de imagem sem compactação. Caso alguém saiba o motivo ou a solução, informe e todos os créditos serão dados.
A melhor performance que obtivemos foi apresentada pelo Tableau Imager, utilizando bloqueadores de escrita T35es da Tableau, um bloqueador portátil, confiável e muito eficiente. O software permite nomear o arquivo de forma automática utilizando modelo/número de série da mídia e data/hora da realização da imagem, mantendo um registro das imagens realizadas associados a um pequeno log.
O FTK Imager também é uma boa opção, pois oferece recurso de montagem de imagens como unidades de disco da estação.
As variáveis que influenciam a performance na realização de imagens periciais são inúmeras e os tempos certamente oscilarão em função delas, mas lembre-se que a melhor ferramenta é aquela com a qual esteja mais acostumado e que seja adequada aos demais recursos que estiverem disponível no seu laboratório.
Ola,
já realizaram alguns teste de desempenho\comparativo com SO Linux utilizando as ferramentas apresentadas na Parte III AIR etc.?
Obrigado
Olá Francisco
Já realizamos alguns testes com ferramentas Linux e foram bastantes satisfatórios. Um dos problemas que enfrentamos é o volume de perícias requeridas, muitas vezes com um grande número de discos rígidos, o que nos obriga a compactar as imagens realizadas, o que é feito no formato Expert Witness (EXX), que conseguimos com o Tableau Imager ou o FTK Imager, cuja performance aproximasse muito das imagens dd do Linux. Vale ressaltar que nossas estações de trabalhamos possuem uma boa capacidade de processamento (HP Z820, XEON, 32 Gb RAM, SSD 256 GB) e ambos os sistemas operacionais, entretanto o formato EXX nos dá uma boa performance e produtividade.
Abraços,
Boa tarde, qual a finalidade de utilizar blocos de 2 GB ? Na maioria das vezes utilizado sem fragmentação.
Olá Janielton
Até a versão 6.6, o Encase tinha como tamanho máximo permitido, segmentos de 2 GB para os arquivos de imagem E01. Esta limitação se dava por que cada segmento armazenava uma tabela que contém uma matriz de inteiros de 32 bits. O primeiro bit armazenava informação sobre a compactação do arquivo, limitando a 2^31 bits para endereçamento dos dados, o que dá 2GB. Os primeiros discos de boot com o Linen ou MS-DOS que faziam imagens no formato E01, também tinham esta limitação com arquivos de imagem, pois os SOs não possuíam suporte para arquivos maiores. Atualmente não estamos sujeitos a estes limites, mas o seu uso pode ser interessante quando queremos fazer o armazenamento das imagens em DVDs, por exemplo. Utilizei o valor de 2GB no teste como um valor padrão, pois o Tableau Imager e o Solo IV possuem este limite para o formato E01.
Abraços.