Tối ưu hóa tốc độ tạo ảnh ổ đĩa

Trong lĩnh vực pháp y kỹ thuật số, tạo ảnh ổ đĩa một cách chuẩn xác là chìa khóa quan trọng để bảo toàn tính toàn vẹn của dữ liệu. Bên cạnh việc sử dụng trình chống ghi ngược để đảm bảo không có dữ liệu nào bị thay đổi trong quá trình tạo ảnh, giám định viên cần cân nhắc tới nhiều yếu tố khác để tăng tốc quá trình này. Với hơn 15 năm kinh nghiệm chuyên sâu trong lĩnh pháp y kỹ thuật số điện tử, chuyên gia của HTI Services sẽ tiết lộ cho bạn vài mẹo và kỹ thuật nâng cao giúp quá trình tạo ảnh ổ đĩa đạt được hiệu suất tối ưu.

1. Trình chặn ghi trong pháp y kỹ thuật số điện tử

Trình chặn ghi là các công cụ phần mềm hoặc phần cứng được thiết kế để ngăn chặn việc sửa đổi ngẫu nhiên bằng chứng gốc được lưu trữ trên các ổ đĩa đang được tạo ảnh. Chúng hoạt động như trung gian giữa máy tính của điều tra viên và thiết bị lưu trữ đang được tạo ảnh. Hãy tập trung vào thế hệ trình chặn ghi mới nhất có chip 10 Gbps hiện đại hỗ trợ kết nối USB 3.2 Gen2, trong khi vẫn duy trì khả năng tương thích ngược với các phiên bản USB cũ hơn đến USB 2.0. Chúng tôi sẽ kiểm tra hiệu suất tạo ảnh đĩa cho các thiết bị lưu trữ SATA ở dạng 2,5″/3,5″ và m.2.

2. Tốc độ tạo ảnh 

Tốc độ tạo ảnh ổ đĩa rất quan trọng, nhưng không phải là yếu tố quyết định. Trong khi tốc độ tạo ảnh cho ổ đĩa từ không thay đổi đáng kể giữa các trình chặn ghi khác nhau, sự khác biệt về hiệu suất rõ rệt hơn nhiều đối với ổ đĩa thể rắn (SSD). Sử dụng trình chặn ghi hiện đại được trang bị chipset thế hệ mới nhất có thể giảm đáng kể thời gian cần thiết để trích xuất dữ liệu.

Tốc độ tạo ảnh cao là tốc độ gần với tốc độ đọc tối đa của thiết bị lưu trữ (đối với SSD sử dụng giao thức SATA là tốc độ tối đa mà giao thức này cho phép), trong đó đã tính đến các yếu tố chung làm giảm hiệu suất.

Ví dụ, với SSD SATA3 kết nối qua cổng USB3.2 Gen2, tốc độ sao chép tốt vào khoảng 450 MB/s và tốc độ lý tưởng là khoảng 500 MB/s.

Đối với các loại ổ cứng HDD truyền thống, tốc độ đọc có sự thay đổi lớn do cấu trúc thiết kế của ổ. Tốc độ đọc của ổ cứng HDD đạt tối đa ở các phần ngoài của đĩa trong quá trình đầu sao chép và giảm dần khi tiến đến các phần cuối.

Lưu ý rằng các tốc độ tối đa này khó có thể đạt được khi sử dụng các cổng USB cũ như USB3.0, USB3.1 Gen1, hoặc USB3.2 Gen1 vì các kết nối này có giới hạn, khiến tốc độ truyền dữ liệu bị chậm lại đáng kể.

3. So sánh hiệu suất các công cụ tạo ảnh ổ đĩa.

Trong quá trình thử nghiệm, chúng tôi đã so sánh hiệu suất của một số chương trình tạo ảnh sử dụng cùng một đĩa và một trình chặn ghi phần cứng sử dụng chip 10 Gbps. Lưu ý, việc kích hoạt nén dữ liệu có thể ảnh hưởng đáng kể đến tốc độ tạo ảnh, điều này phụ thuộc rất nhiều vào loại nén và nội dung của đĩa.

Thử nghiệm:

Trên máy trạm: ASUS Vivobook S16 S5606MA, Intel Core Ultra 9 185H, RAM 32GB, SSD Samsung 990 Pro 2TB, 4 cổng USB/Thunderbolt. 

Ổ cứng để tạo file ảnh:  SSD AMD Radeon R5 R5SL128G (tổng dung lượng 128GB, trống 10GB).

Kết quả:

• Định dạng RAW

OSForensics: 480 MB/giây

FTK Imager: 360 MB/giây

X-Ways Imager: Luôn ổn định, mặc dù không nhanh bằng OSForensics

• Định dạng E01 (không nén)

OSForensics: 360 MB/giây

FTK Imager: 267 MB/giây

• Định dạng nén

OSForensics: Chậm hơn đáng kể (87 MB/giây và 79 MB/giây)

FTK Imager: Ổn định nhưng chậm hơn RAW

X-Ways Imager: Tốt nhất với mức nén trung bình

Thử nghiệm chỉ ra rằng việc lựa chọn công cụ tạo ảnh và cài đặt nén có thể ảnh hưởng lớn đến tốc độ tạo ảnh ổ đĩa. Nếu muốn đạt được hiệu suất nhanh nhất, đặc biệt là với dữ liệu RAW chưa nén, OSForensics là lựa chọn tốt nhất. Tuy nhiên, để có hiệu suất tốt hơn với các định dạng nén, X-Ways Imager là lựa chọn tốt hơn. FTK Imager có xu hướng chậm hơn một chút về tốc độ so với các công cụ khác (đặc biệt là ở chế độ E01 không nén).

4. Cách tối ưu hóa hiệu suất tạo ảnh ổ đĩa

Thử nghiệm trên đã được các chuyên gia của HTI Services thực hiện trên cả môi trường máy tính để bàn và laptop với nhiều hệ cổng USB và các loại cáp khác nhau. Sau đây là một vài mẹo mà chúng tôi đã đúc kết được nhằm tăng tối đa hiệu suất của quá trình tạo ảnh ổ đĩa. 

• Sử dụng máy tính xách tay có nguồn điện

Đảm bảo rằng máy tính được cắm vào ổ cắm điện. Nhiều máy tính xách tay giảm tốc độ cung cấp điện USB và tốc độ bus khi chạy bằng pin. 

• Kết nối với cổng USB nhanh nhất hiện có

Sử dụng cổng USB nhanh nhất hiện có, lý tưởng nhất là USB 3.2 Gen 2 (10 Gbps) hoặc nhanh hơn.

• Sử dụng cáp chất lượng cao

Không phải mọi cáp USB 3 đều hỗ trợ tốc độ trên 5 Gbps. Sử dụng cáp được chứng nhận cho USB 3.1 Gen 2, USB 3.2 Gen 2 hoặc cao hơn. Hãy thận trọng với cáp USB-C sạc nhanh, nhiều loại trong số đó chỉ hỗ trợ tốc độ USB 2.0. Cáp USB/Thunderbolt 4 được chứng nhận có đánh dấu tốc độ tối đa và chiều dài dây cáp ngắn hơn là một lựa chọn khôn ngoan.

• Sử dụng ổ SSD NVMe làm ổ đích 

Sử dụng ổ SSD NVMe cho ổ đĩa mục tiêu, được đặt trong khe cắm M.2 hoặc kết nối qua cổng USB 10 Gbps hoặc nhanh hơn. Ổ SSD NVMe có tốc độ ghi cao hơn đáng kể so với ổ cứng truyền thống và ổ SSD SATA, giúp ổ đĩa mục tiêu không bị gián đoạn.

• Đảm bảo đủ không gian trống trên ổ đĩa đích

Trước khi tạo ảnh, hãy đảm bảo ổ đĩa đích có đủ dung lượng trống. Đối với SSD, việc có đủ dung lượng trống là rất quan trọng vì nó cho phép tốc độ ghi cao hơn và tránh tình trạng giảm hiệu suất xảy ra khi ổ đĩa gần đầy. Tương tự với ổ đĩa từ tính, nhiều dung lượng trống có thể giúp tránh tình trạng chậm lại do phân mảnh hệ thống tệp.

• Tạm dừng lập chỉ mục và phần mềm diệt vi-rút

Việc lập chỉ mục tìm kiếm của Windows có tác động tối thiểu đến hiệu suất, nhưng phần mềm diệt vi-rút có thể làm chậm đáng kể quá trình này, việc tạm dừng Windows Defender tích hợp trong quá trình tạo ảnh đĩa giúp tăng tốc độ tạo ảnh trên một số hệ thống.

Kết luận lại, để đạt được tốc độ tạo ảnh ổ đĩa tối đa, cần tuân thủ một số điều kiện và sử dụng thiết bị và phần mềm phù hợp. Việc thực hiện các khuyến nghị này có thể giảm đáng kể thời gian cần dành cho việc tạo hình ảnh đĩa.