ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


07.05.2013
Сравнение FTK, EnCase и X-Ways Forensics
 

Подготовил Сергей Прокопенко, начальник Лаборатории компьютерной криминалистики ЕПОС

Достаточно часто среди специалистов по компьютерно-технической экспертизе (КТЭ) поднимается вопрос, какое экспертное ПО лучше. Очевидно, что однозначно ответить на него невозможно, поскольку разные инструменты могут быть лучше или хуже в зависимости от обстоятельств и целей исследования.

Однако недавно ведущие разработчики экспертных программ AccessData (Forensic ToolKit, FTK) и Guidance Software (EnCase Forensic) решили сорвать завесу тайны над тем, кто же из них «быстрее, выше, сильнее». Первую вылазку в этой конкурентной войне провела Guidance Software, опубликовав в своем блоге пост с названием «EnCase Forensic - перспективы развития» [1].

Основная тема материала - новые возможности и повышение скорости работы новой версии EnCase 7.03, по сравнению с предыдущими версиями. Но среди прочего в нем также говорится следующее:

Хотя ускорение обработки данных в 2-3 раза по сравнению с версией 7.02 - само по себе существенное улучшение, нам было интересно сравнить 7.03 с другими продуктами. Используя системы в рекомендуемой нами конфигурации, мы провели несколько тестов с различными образами в EnCase v7.03 и в новом релизе продукта конкурента. Как видно из таблицы ниже, в дополнение к ускорению в 2-3 раза по сравнению с версией 7.02, EnCase v7.03 также как минимум в 2 раза быстрее, чем продукт конкурента.

Тестовый
образ
Кол-во
записей
Размер
образа
(ГБ)
EnCase.
Время
обработки
(чч:мм)
Кол-во
проиндек-
сированных
элементов
Кэш
данных
(ГБ)
Конкурент.
Время
обработки
(чч:мм)
Кол-во
проиндек-
сированных
элементов
Кэш
данных
(ГБ)
Test Ev 1 10,731 232.83 01:41 31,189 3.82 4:22 28,121 6.85
Test Ev 2 110,069 232.83 02:52 423,741 16.9 77:57 420,450 20.5
Test Ev 3 761,775 298.09 15:12 1,005,015 27.2 29:17 909,448 53

После этого следует таблица, в которой сравнивается набор функций и настройки EnCas v7.03 и продукта конкурента.

Хотя конкурент так и не был назван, AccessData отреагировала почти мгновенно. На своем сайте на странице с красноречивым названием «Цифры не лгут» [2] они разместили постер со сравнением FTK с EnCase. Там же можно скачать отчет с более подробными данными и краткой методикой тестирования [3], составленный консалтинговой компанией Opus Onе.

Постер (его перевод в конце статьи) и информация в отчете достаточно интересны и вызвали достаточно бурные обсуждения среди зарубежных специалистов. Поскольку в этом сравнении не участвует еще один популярный продукт - X-Ways Forensics, мы решили для полноты картины дополнить отчет информацией и об этой замечательной программе.

Так как тестовые образы, участвующие в сравнении FTK с EnCase, недоступны, а сведения о методике тестирования и используемых аппаратных средствах неполные, напрямую сравнить
X-Ways Forensics с FTK и EnCase невозможно. Поэтому в наших комментариях мы опираемся на практический опыт использования и знания особенностей перечисленных программ.

Ниже приведен перевод наиболее интересных моментов отчета Opus Onе, проспонсированного AccessData. Курсивом в нем выделены наши комментарии и дополнения, касающиеся X-Ways Forensics.

Сравнение производительности программных продуктов Forensic Toolkit® от AccessData® и EnCase® Forensic от Guidance Software

Резюме

Одним из наибольших ограничений эксперта в области КТЭ является время. Получая необходимую информацию быстрее, он сможет повысить количество и качество проводимых экспертиз.

На глобальном рынке программного обеспечения для компьютерных исследований и экспертиз в настоящее время существуют два лидера - AccessData Forensic Toolkit (FTK®) и Guidance Software EnCase Forensic (EnCase). Наше тестирование шести различных комбинаций наборов данных и применяемых аппаратных средств (рис. 1) показало, что FTK в 8 раз быстрее при анализе данных. Хотя время, затрачиваемое на анализ исследуемых данных, является только одним из многих критериев при выборе экспертного ПО, громадное преимущество AccessData FTK может рассматриваться потенциальным покупателем как основной фактор при оценке и приобретении этих продуктов.

График-сравнение скорости обработки образа в FTK и EnCase
Рис. 1. Время в часах для обработки образа (меньше лучше)

Общее сравнение явно не в пользу EnCase. За нашу практику, причем на машинах 2-ядерными процессорами, X-Ways Forensics ни разу не обрабатывал одиночный диск с NTFS более 10-12 часов, независимо от количества файлов и объема исследуемого образа (дольше возможно было в случаях с индексированием по нескольким кодировкам).

Анализ результатов

Исследование цифровых доказательств на компьютерах, носителях информации и мобильных устройствах является сложной и ресурсоемкой операцией. FTK и EnCase обрабатывают не только все существующие в файловой системе файлы, но также осуществляют поиск удаленных и поврежденных файлов и фрагментов файлов. Для всех файлов осуществляется проверка их типа по содержимому; из них извлекаются текстовые и другие виды встроенных данных, текст индексируется. Из сжатых файлов, таких как архивы ZIP, составных файлов, таких как документы Adobe PDF, или файлов со встроенными объектами, таких как почтовые базы Microsoft PST, извлекаются все внутренние элементы для анализа и индексирования.

К несчастью, эксперт не может перейти к поиску ответов на вопросы исследования до того, как закончится начальная обработка данных. После нахождения некоторой информации ему может потребоваться повторно исследовать носитель в поиске определенных типов файлов или данных. Это значит, что время завершения начальной (и всех последующих) обработки и индексирования данных непосредственно влияет на производительность и эффективность работы эксперта.

В наших тестах, FTK выполняет эти операции значительно быстрее, чем EnCase. Хотя оба продукта обладают собственными алгоритмами обработки данных, простое сравнение производительности при начальной обработке показывает, что FTK быстрее благодаря более эффективному использованию аппаратных ресурсов (речь идет о более эффективном использовании процессора и дисковой подсистемы).

На рис. 2 показаны снимки экрана Диспетчера задач Windows для FTK и EnCase, запущенных на одинаковой аппаратной платформе. Очевидно, что FTK имеет значительное преимущество в многопроцессорных системах. FTK задействует все доступные ресурсы процессора, в то время как EnCase использует только одно ядро. Это отмечалось для большинства операций при тестировании.

График загруженности ЦП при обработке образа в FTK и EnCase
Рис. 2. Распределение загрузки по ядрам процессора

Сопоставление настроек

Оба продукта, FTK и EnCase, обладают большим количеством настроек, которые могут применяться при обработке данных. В ходе тестирования мы старались провести их объективное, насколько это возможно, сравнение, задавая одинаковые настройки. Поскольку ПО отличается по интерфейсу, мы не ставили своей целью отметить одинаковые галочки, а полагались на документацию EnCase от Guidance Software и документацию и поддержку AccessData.

В некоторых случаях наблюдалось очевидное расхождение в возможностях ПО. Например, FTK позволяет распознавать текст в исследуемых изображениях. Распознавание текста относится к вычислительно сложным операциям, но относится к функциям, которые недоступны в EnCase.

Поскольку «условия игры» задала Guidance Software, описав включенные настройки программ при тестировании, авторы отчета в ответ привели свою точку зрения.

Анализируя сравнительную таблицу активированных настроек (фактически, список функций ПО) можно отметить, что FTK и EnCase обладают практически одинаковыми возможностями по анализу данных.

Настройки EnCase FTK X-Ways
Forensics
Примечания
Поиск удаленного по файловой системе Активн. Активн. +  
Верификация типов файлов Активн. Активн. +  
Анализ защищен. файлов Активн. Активн. +  
Хеширование MD5, SHA1 MD5, SHA1 MD5, SHA1 SHA-256 не поддерживается EnCase.
XWF поддерживает 8 разных хешей
Разбор составных файлов Активн. Активн. + FTK позволяет задавать типы архивов для исследования. Поддерживает больше форматов, в т.ч. PDF, 7Zip.
XWF поддерживает 7 типов архивов, в т.ч. RAR, 7Zip и составные файлы, в т.ч. OLE
Анализ браузеров Активн. Активн. + Все популярные
Анализ почты Активн. Активн. + EnCase поддерживает меньше форматов почтовых баз.
XWF поддерживает наибольшее количество форматов, в т.ч. The Bat!
Индексирование Макс.
длина
слова
32 симв.
Макс.
длина
слова
32 симв.
Макс.
длина
слова
24 симв.
EnCase поддерживает слова до 64 символов.
На практике редко используется более 16 символов.
Разбор реестра Активн. Активн. +  
Анализ мессенджеров Активн.
для всех
поддерж.
(Yahoo,
MSN, AOL)
Активн.
для. Yahoo,
MSN, AOL,
Facebook
+ FTK поддерживает дополнительно 5 типов.
XWF поддерживает любые на основе SQLite (Skype,…)
Сигнатурный поиск Активн. Активн. + EnCase по умолчанию ищет по 5 сигнатурам (из 314). FTK - по 10.
Журналы Windows Активн. Активн. +  
Артефакты Windows Активн. Активн. +  
Распознавание текста в изображениях н/д Не активн. - Поддерживается только FTK
Рус.локализация частичн. есть есть  
Цена, относит. единицы 2,6 2,1 1  

Как тестировали

Для тестирования использовались три различных образа данных и две аппаратных конфигурации. FTK и EnCase запускались в шести тестах с описанными выше настройками и измерялось время выполнения каждого теста.

В качестве тестируемых образов использовались типовые наборы данных, с которыми регулярно сталкиваются эксперты:

Размер образа Характеристика
75 ГБ Загрузочный диск Windows ХР, 1176604 элементов (изображения, документы, таблицы, базы данных, почта, архивы, временные файлы, чаты)
250 ГБ Windows NTFS диск данных, 2297197 элементов
1 ТБ Загрузочный диск Windows Vista, 8473455 элементов


Тестирование проводилось на двух схожих аппаратных конфигурациях, которыми обычно пользуются эксперты:

Конфигурация 8-ядерная 16-ядерная
Процессоры 2 х Intel E5-2643 4-core @3.3 GHz 2 x Intel E5-2470 8-core @2.3 GHz
Память 32 ГБ 96 ГБ
Дисковая подсистема 4 x 1TB SATA 7200 RPM, 6GB/sec 8 x 600 GB SAS 15K RPM drives, 6GB/sec, RAID0
ОС    


В качестве тестируемых версий ПО использовались последние на момент тестирования версии:

  • AccessData FTK v4.2
  • EnCase Forensic v7.0.5.01.10

В целом, результаты тестирования показывают, что набор функций во всех ведущих пакетах очень близок, исключение составляет лишь возможность распознавания текста в исследуемых изображениях, реализованная пока только в FTK.

В отчете говорится «К несчастью, эксперт не может перейти к поиску ответов на вопросы исследования до того, как закончится начальная обработка данных», но это утверждение не совсем применимо к X-Ways Forensics. Преимуществом XWF является возможность запускать несколько экземпляров программы и параллельно обрабатывать один или несколько образов. Совместно с развитыми возможностями анализа и сокращения объема анализируемых данных (за счет, например, исключения дубликатов и заведомо поврежденных файлов) это обеспечивает значительное сокращение времени исследования. По отзывам зарубежных специалистов (это подтверждается и нашей практикой), X-Ways Forensics позволяет провести исследование в среднем в два раза быстрее, чем FTK или EnCase. Кроме того, X-Ways Forensics намного менее требователен к аппаратным ресурсам (к сожалению, пока немногие наши эксперты могут похвалиться рабочими станциями с характеристиками из отчета Opus Onе).

Перевод постера «Цифры не лгут», опубликованного компанией AccessData
Цифры не лгут - сравнение скоростей обработки образа в FTK и EnCase, проведенное компанией AccessData

Источники:

  1. http://encase-forensic-blog.guidancesoftware.com/2012/03/encase-forensic-development-perspective.html
  2. http://www.accessdata.com/numbers-dont-lie/
  3. Waiting to Start. Performance Comparison of AccessData's® Forensic Toolkit® and Guidance Software's EnCase® Forensic software. Joel Snyder, Opus One
 

Поделиться информацией