Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

2025-07-04 Bài viết chia sẻ thông tin, Điều tra dữ liệu, Tin tức

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi năm, tốc độ và dung lượng của các thiết bị này đều tăng lên, đặt ra thử thách đáng kể liên quan đến tốc độ và độ tin cậy của việc di chuyển một lượng lớn dữ liệu khi tạo ảnh ổ đĩa. Trong bài viết này, chúng ta sẽ cùng kiểm tra khả năng tạo ảnh của ổ đĩa tốc độ cao Samsung 980Pro NVMe với OSForensics and FTK Imager. Ngoài ra, hãy cùng thử nghiệm các nguyên mẫu của một thiết bị chặn ghi NVMe để xem có điều gì thú vị.

 

Vấn đề của các thiết bị lưu trữ nhanh

Thoạt nhìn, việc tạo ảnh một ổ đĩa SSD tốc độ cao có vẻ nhanh hơn rất nhiều so với việc xử lý một ổ đĩa chậm hơn. Tuy nhiên, thiết bị lưu trữ nhanh lại mang đến một loạt các vấn đề hiếm gặp ở ổ đĩa SATA chậm hơn. Dưới đây là một vài ví dụ:

  1. Giới hạn băng thông USB: Khi thực hiện trích xuất pháp y, chúng ta không thể kết nối trực tiếp tiếp thiết bị NVMe vào cổng USB của máy tính. Thay vào đó cần phải sử dụng một bộ chuyển đổi chặn ghi ngược, một thiết bị mà thường phải kết nối qua cổng USB. Điều này có nghĩa là thiết bị không thể đạt đến tốc độ đọc tối đa của một ổ SSD nhanh cho dù có kết nối với một cổng USB 3.2 Gen 2 với tốc độ 10gbps. Sử dụng một cổng Gen 2×2 hoặc USB4 không phải luôn là giải pháp hoàn hảo.
  2. Bộ chuyển đổi 10gbps để kết nối ổ NVMe tới cổng USB: các bộ chuyển đổi thông dụng này thường chỉ hoạt động ở một tốc độ hạn chế ngay cả khi so sánh với tốc độ được quảng cáo của ổ NVMe chậm nhất. Bộ chuyển đổi nhanh hơn yêu cầu cổng USB tốc độ cao, thứ mà không phải lúc nào cũng có thể tiếp cận được, nhưng không có nhiều bộ chuyển đổi chặn ghi ngược có thể vượt qua mức 10gbps.
  3. Bộ chuyển đổi USB thường có xu hướng quá nhiệt: điều này đặc biệt đúng khi mà ổ đĩa được kết nối tạm thời mà không được làm mát đúng cách. Việc thiếu hệ thống làm mát thích hợp, chẳng hạn như miếng tản nhiệt silicon dùng một lần và bộ tản nhiệt kim loại, sẽ dẫn đến hiện tượng điều tiết nhiệt, khiến hiệu suất giảm mạnh.
  4. Phần cứng chất lượng là cần thiết để trích xuất dữ liệu một cách ổn định: chất lượng và hiệu suất của cổng USB, dây cáp và bộ chuyển đổi đều ảnh hưởng đến độ ổn định tổng thể. Tình trạng tốc độ suy giảm nghiêm trọng cũng xuất hiện khi chạy bằng pin thiết bị khi so sánh với trường hợp được cắm sạc liên tục.
  5. Tốc độ ghi liên tục của ổ đĩa mục tiêu cũng là yếu tố quan trọng: cho dù mọi thứ khác đều hoàn hảo, tốc độ tạo ảnh ổ đĩa vẫn bị ảnh hưởng bởi đặc tính tốc độ đọc ghi liên tục (sustained write speed) của ổ đĩa mục tiêu. Không nên nhầm lẫn giá trị này với tốc độ đọc ghi liên tục tối đa (peak continuous write speed) được ghi trong thông số kỹ thuật của nhà sản xuất, do tốc độ đọc ghi liên tục sẽ chậm hơn đáng kể và thường sẽ giảm mạnh phụ thuộc vào các khối dữ liệu đã được ghi và không gian trống còn lại của ổ đĩa.

Trong các tình huống thực tế, việc đạt được tốc độ tạo ảnh gần với tốc độ đọc ghi liên tục được quảng cáo của ổ đĩa SSD là gần như không thể. Mục tiêu sau khi được điều chỉnh thì khiêm tốn hơn rất nhiều; chúng ta đang hướng tới băng thông của sự kết hợp “Cổng USB + bộ chuyển đổi”, thường rơi vào khoảng 10 gigabits trên giây. Xem xét chi phí của USB, tốc độ tối đa trên lý thuyết có thể lên đến 1GB/s.

Từ SATA đến NVMe

Trong bài viết “Tối ưu hóa tốc độ tạo ảnh ổ đĩa”, nhiều vấn đề khác nhau của tạo ảnh ổ đĩa với các công cụ pháp y đã được bàn đến. Chúng tôi cũng đề cập đến việc xử lý ổ SATA chậm hơn nhiều so với các thiết bị NVMe hiện nay. Lần này, chúng tôi tập trung vào ổ đĩa NVMe thay vì ổ SATA. Mặc dù đã thực hiện kiểm tra sơ bộ với ổ SATA để xác nhận cấu hình, kết quả thu được – như dự đoán – tương tự như các thử nghiệm trước đó. Ổ đĩa được sử dụng cho thử nghiệm chính là Samsung 980Pro NVMe SSD (256 GB).

Môi trường thử nghiệm và thiết lập

Trong thử nghiệm này, một laptop khác sẽ được sử dụng – cụ thể là Tecno MEGABOOK S1, với bộ xử lý Intel Core i7-13700H, 32GB RAM và một ổ SSD 1TB PCIe Gen4x4. Chiếc laptop này bao gồm cổng USB 3.2 Gen2 và USB 4.

Ổ đĩa NVMe được tạo ảnh (Samsung 980 Pro 256GB) sẽ được kết nối với một cổng Type-C 10gigabit thông qua bộ chuyển đổi NVMe – USB chuyên dụng, trong khi ảnh sẽ được lưu vào ổ cứng SSD trong  NVMe của laptop. Thiết lập này đảm bảo một biên độ tốc độ đáng kể để xử lý khối lượng dữ liệu lớn. Thử nghiệm sao chép được thực hiện với cả nguồn điện nối ngoài và pin. Khác với các hệ thống trước đây, chiếc laptop dùng trong thí nghiệm không biểu hiện bất kì sự giảm tốc độ nào khi mà chuyển sang chạy bằng pin. Lý do cho việc này vẫn chưa rõ ràng.

Các công cụ được sử dụng với phiên bản mới nhất đều rất quen thuộc: OSForensicsFTK Imager.

Kết quả thử nghiệm

Như dự đoán, OSForensics tiếp tục mang lại hiệu suất tốt nhất. Khi kết nối ổ đĩa NVMe với cổng USB 4.0, tốc độ tạo ảnh trung bình vượt 1GB/s (cụ thể là đạt tới 1007 MB/s), và ảnh ổ đĩa được hoàn thành chỉ trong 4 phút. Khi cùng một ổ đĩa đó kết nối với cổng USB 3.2 Gen 2, tốc độ giảm đi khoảng 1%, cho thấy cổng USB không phải là yếu tố hạn chế mà vấn đề nằm ở bộ chuyển đổi được dùng để kết nối ổ đĩa.

Trong khi đó, FTK Imager chậm hơn đáng kể, tiêu tốn 7.5 phút để hoàn thành công việc tương tự, với tốc độ trung bình là 525 MB/s, gần bằng một nửa so với OSForensics.

Cuối cùng, bộ chặn ghi NVMe nguyên mẫu được đưa vào để thử nghiệm hiệu suất. Kết quả đã vượt qua kì vọng: với chế độ chặn ghi được bật, tốc độ sao chép vẫn đạt đến 965MB/s, chỉ 4% chậm hơn so với bộ chuyển đổi NVMe tiêu chuẩn không có bảo vệ.

Thiết bị lưu trữ SATA và NVMe là các loại phương thức lưu trữ phổ biến nhất, ngoài ổ USB, ổ flash và thẻ nhớ dùng trong camera, camera hành trình và điện thoại thông minh. Chúng tôi dự kiến sẽ sớm thực hiện các thử nghiệm trên các loại phương tiện lưu trữ này. Ngoài ra, chúng tôi cũng rất mong muốn được kiểm tra các công cụ chặn ghi (write blocker) dạng phần mềm, thiết bị chặn ghi độc lập, cũng như thực hiện các thử nghiệm tương tự trên hệ điều hành Linux.

Kết luận

HTI Services đã đề cập đến tầm quan trọng của việc tối ưu hóa tốc độ tạo ảnh ổ đĩa trong quá trình phân tích pháp y; bất kỳ thời gian nào được tiết kiệm đều thực sự quý giá. Tuy nhiên, để đạt được tốc độ tạo ảnh cao, cần có sự kết hợp đúng đắn của nhiều yếu tố: máy tính, cáp kết nối, bộ chuyển đổi, thiết bị chặn ghi và thậm chí cả thiết bị lưu trữ đích – tất cả đều ảnh hưởng trực tiếp đến tốc độ tạo ảnh.

Từ khóa:

Chia sẻ:

Bài viết liên quan

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
13Jun

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

khoi-phuc-du-lieu-macbook
12Jun

Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn

Một chiếc MacBook với ổ NVMe được gửi tới HTI Services trong tình trạng không thể khởi động –... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
11Jun

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 3: Linux

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

0928765688