이미징 장비 성능 비교 : TaskForce vs. TX1 vs. Forensic Falcon

Atola TaskForce 이미징 장비의 소개는 이전 글을 참고하자. TaskForce 제품과 다음의 2개 제품의 성능을 비교했다.

○ Atola TaskForce (Firmware version 2019.9)
○ Tableau TX1 (Firmware version 2.2.0.12)
○ Logicube Forensic Falcon (Software version 3.2u1)

 
정확한 성능 비교를 위해 소스(Source)는 동일(같은) 저장장치를 사용했고, 대상(Target)은 모델이 동일한 저장장치를 사용해 비교했다. 배드섹터에 의한 에러 처리도 제품별로 다음과 같이 설정을 고정하고 진행했다. 제품별로 에러처리 설정이 조금 다르지만 가장 강력한 에러 처리 설정으로 모두 맞췄다. 실험 중 배드섹터가 발견된 경우는 없었으므로 성능에 영향은 없었다고 보면 된다. 그리고 E01 포맷으로 이미징 시에는 모두 압축을 적용해 이미징했고, TX1의 경우 E01 포맷을 선택하면 해시 선택이 제한되기 때문에 Ex01 포맷으로 테스트했다.

○ Atola TaskForce

– Pass: 5 (Timeout: 60s, Jump on error: 1)

○ Tableau TX1

– Error granularity: Exhaustive

– Error retry: 1

○ Logicube Forensic Falcon

– Error handling: Skip

– Error granularity: 1 sector

 

# 3개 제품의 성능 비교

다양한 소스를 대상으로 독립 모드의 복제, 이미징, 와이핑 성능을 비교했다.
 
복제 (Duplication)


Source Target Hash Post-Hash
(Verify)
TaskForce TX1 Forensic
Falcon
Vendor Model Interface Size Vendor Model Interface Size
WD WD10EZEX SATA 1TB WD WD10EZEX SATA 1TB SHA1 OK 4h 4h 4h 2m
WD WD2003FZEX SATA 2TB WD WD2003FZEX SATA 2TB SHA1 OK 7h 22m 8h 8m 10h 23m
Seagate ST4000DM004 SATA 4TB Seagate ST4000DM004 SATA 4TB SHA1 OK 15h 49m 15h 21m 18h 08m

복제는 다소 차이는 있지만 전체 장비에서 비슷한 결과가 나왔다.
 
로컬 이미징 (Local Imaging)


Method Source Target Hash Post-Hash
(Verify)
TaskForce      TX1      Forensic
Falcon
Vendor Model Inter- Size Vendor Model Inter- Size
E01 Fuijtsu MJA2160BH SATA 160GB WD WD10EZEX SATA 1TB SHA1 OK 48m 48m 44m
E01 Seagate ZA1000CM10002 SATA 1TB Seagate ST2000DM0001 SATA 2TB SHA1 OK 1h 27m 57m 4h 54m
E01 WD WD2002FAEX SATA 2TB WD WD40EZRZ SATA 4TB MD5 13h 01m 5h 2m 4h 54m
RAW(DD) Samsung MZ-7PC1280 SATA 128GB WD WD10EZEX SATA 1TB MD5 11m 12m 13m
RAW(DD) WD MyPassport25E9 USB 1TB WD WD40EZRZ SATA 4TB MD5 2h 23m 2h 27m 2h 29m

TaskForce의 경우 2TB의 WD, Seagate HDD 모두 속도가 느리게 나왔다. 진단에서는 이미징 예측 시간이 4시간이었는데 실제 이미징에서는 12~13시간이 소요되었다. 이 부분은 펌웨어 업데이트가 필요해보인다.
 
원격 이미징 (Remote Imaging)


Method Source Target Hash Post-Hash
(Verify)
TaskForce TX1 Forensic
Falcon
Vendor Model Interface Size Connect Ethernet MTU
E01 WD WD10EZEX SATA 1TB CIFS 10Gb 9000 SHA1 OK 2h 21m 2h 16m 1h 51m
E01 Fujitsu MJA2160BH SATA 160GB CIFS 10Gb 9000 SHA1 OK 48m 48m 44m
E01 Seagate ZA1000CM10002 SATA 1TB CIFS 10Gb 9000 SHA1 OK 1h 33m 1h 20m
RAW(DD) Samsung MZ-7PC1280 SATA 128GB CIFS 10Gb 9000 MD5 8m 33m
RAW(DD) WD My Passport 25E9 USB 1TB CIFS 10Gb 9000 MD5 2h 4h 33m

원격 이미징이 가장 안정적으로 동작한 장비는 TaskForce 였다. TX1은 로컬 이미징이 잘 되는 저장장치를 원격으로 진행하면 거의 진행이 되지 않았다(500시간 이상이 소요).
 
와이핑 (Wiping)


Wipe Type Number of
passes
Pattern Target TaskForce TX1 Forensic
Falcon
Vendor Model Interface Size
Overwrite 1 0x00 WD WD10EZEX SATA 1TB 1h 52m 1h 49m 2h
Overwrite 1 0x00 WD WD2003FZEX SATA 2TB 4h 5m 4h 49m 3h 39m
Overwrite 1 0x00 WD WD40EZRZ SATA 4TB 7h 51m 8h 5m 7h 59m

 

# 결론

다양한 저장장치를 대상으로 실험을 한 결과, 동일한 저장장치라도 이미징 장비에 따라 성능이 달랐지만 어떤 규칙성이 존재하지는 않았다. 하드웨어는 워낙 호환성의 이슈가 많다보니 가급적이면 2개 이상의 이미징 장비를 보유하고 하나의 장비에서 속도가 비정상적으로 나오면 다른 장비로 시도해보는 것을 추천한다.
 
추후 다른 제품은 소스 인터페이스가 한정적이지만 TaskForce는 12개의 SAS/SATA 중 8개까지 성능 하락없이 병렬 이미징이 가능하다고 하므로 이 부분의 실험 결과와 Express 모드의 효용성에 대해 포스팅하겠다.

About the Author:
CEO & Founder, 고등학교 때부터 보안 분야에 종사하고 싶어 노력하다 대학 시절 디지털 포렌식의 흥미를 느끼고 첫 발을 내딛었다. 현재는 각종 사고 대응 및 분석, 디지털 증거 분석 및 자문 등을 수행하고 있고, 아시아 시장의 디지털 포렌식 커뮤니티를 만드는데도 노력하고 있다.

Leave a Comment!

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다