数据取证：Miray Evidence，如何在取证工作中最大化磁盘镜像速度

天津鸿萌科贸有限公司专注于数据安全领域二十余年，提供专业的数据恢复、数据备份等业务。

同时，公司代理众多国际主流数据恢复及数据取证软件（UFS、ReclaiMe Pro、ElcomSoft、R-Studio 等），是德国 Miray 系列（HDClone、HDShredder、Miray Evidence）磁盘克隆、数据清除及数据取证软件的授权代理商。

| 本文内容：

1. Miray Evidence，安全高效的数据取证镜像工具
2. 在数据取证过程中，怎样提升磁盘镜像速度

一、Miray Evidence，安全高效的数据取证镜像工具

Miray Evidence 是一款专门用于数据取证的镜像软件，帮助取证人员高效可靠地创建机械硬盘、固态硬盘及 USB 磁盘等存储介质的镜像。该软件特别注重以取证为目的的证据存档和评估功能。

1、亮点突出的取证专用镜像功能

• 完整的取证镜像（E01、Ex01 和 AFF）
• 完整镜像（RAW 通用格式、HDClone 格式、VM 格式）
• 数据镜像（HDClone SmartImage 格式、VM 格式） 。对于特殊用例，可以使用面向文件系统格式，例如 VMDK、VHD、VHDX 和 VDI，以及 SmartImage。如果证据的合法保护不是优先事项，那么在存储空间和时间要求方面，这些格式特别有效。
• 数据比较（在两个磁盘之间，或在镜像和磁盘之间）
• 压缩及校验和计算（CRC、MD5、SHA-1、SHA-256、SHA-512）
• 支持所有文件系统和操作系统。
• 甚至无需启动Windows系统：Miray Evidence 使用自己的专门操作系统Symobi OS，可以绕过传统操作系统的性能限制，并且无需启动已安装的操作系统即可创建镜像。
• 详尽的 PDF 取证报告

2、可靠高速的取证磁盘镜像生成速度

Miray Evidence 的核心是 CopyEngine——由 Miray 专门开发的算法，基于这种算法，使 Miray Evidence 产品成为全球最快、最高效的镜像解决方案产品之一。此外，优化的用户界面使整个镜像创建过程非常简单高效。

3、独有的 Miray Virtual Disk 镜像加载技术，让文件访问更便捷

Miray Evidence 包含 Miray Virtual Disk 软件，利用该软件可以将Miray Evidence 创建的文件镜像（甚至包括 VMDK、VHD/VHDX、VDI 镜像）装载为虚拟的 Windows 驱动器。然后，可以直接访问存储在文件镜像中的文件和文件夹。Miray Virtual Disk 可以按需启动或在系统启动时自动启动。文件镜像可以按需或永久装载。

4、自主操作系统

Miray Evidence 使用其专有的操作系统，可以绕过传统操作系统的性能限制，并允许在不启动已安装操作系统的状态下创建镜像。

5、便于取证工作实施的不同许可证类型

维护许可证：可在随机 PC 上使用，并带有关联的 USB 令牌。延长现有的技术人员许可证。

一次性许可证：取决于软件的各个启动。可在任意 PC 上使用。也适用于同时使用和远程操作的系统。延长现有的技术人员许可证。

离线使用许可证：我们可以根据要求提供更多许可选项，例如在本地网络中或作为公司或站点许可证。

6、适用于各种操作系统环境的不同版本选择

Evidence/W

该版本作为普通 Windows 应用程序（.exe）运行，可以在运行的 Windows PC 上与其他程序并行简单执行，或者甚至可以在未永久安装 Windows 的情况下通过 Windows PE 执行。

Evidence/S

Miray Evidence 的自启动版本基于Miray的 Symobi OS，可以在 PC 和 Mac（x84 兼容）上运行。当需要实现尽可能高的复制速度或 Windows 无法执行时，这个版本功能非常有用。

Evidence/L

与 Evidence/S 一样，该版本也在 Miray 的 Symobi OS 上自启动运行，但基于 Linux。因此，可以在没有可执行 Windows 程序和 Windows PE 的情况下使用许多 WLAN 适配器和 RAID。

7、Miray Evidence 目标用户

• 取证调查员：收集和分析证据以支持刑事调查
• 执法人员：收集和管理证据
• 网络安全专业人员：调查网络攻击并收集证据以支持诉讼
• 情报分析师：收集和分析证据以支持情报收集和安全
• 律师：收集和管理证据以支持诉讼和辩护
• 数据恢复工程师：提取数据，以备后续恢复

二、在数据取证过程中，怎样提升磁盘镜像速度

在数字取证领域，正确处理磁盘镜像任务对于保护数据完整性至关重要。有许多因素会影响此过程的效率和速度，包括写保护程序的应用、存储设备读取性能等。

综合考虑开销及端口限制时，高镜像速度接近于特定存储设备的最大读取速度。比如，对于连接到 USB3.2 Gen2 端口的 SATA3 SSD，良好的镜像速度约为 450 MB/s，而出色的速度约为 500 MB/s。磁性硬盘速度差异很大。由于硬件设计，在镜像过程开始时，外轨上可实现最大读取速度，而在磁盘末端会大幅下降。请注意，由于开销会限制数据传输速率，因此无法通过传统 USB 连接（例如 USB3.0、USB3.1 Gen1 或 USB3.2 Gen1）实现这些最大速度。

1、如何最大化磁盘镜像性能

通过在台式机和便携式环境中对不同代 USB 端口和各种电缆进行多次测试，总结出了提升镜像速度的若干关键点：

• 将笔记本电脑连接电源：如果您使用的是笔记本电脑，请确保将其插入电源插座。许多笔记本电脑在使用电池供电时会降低 USB 供电和总线速度。始终在笔记本电脑连接到主电源的情况下执行磁盘镜像，以避免这种省电模式。
• 连接到最快的可用 USB 端口：使用最快的 USB 端口，最好是 USB 3.2 Gen 2 (10 Gbps) 或更快。这可确保最高的数据传输速度，达到 SATA 协议的 6 Gbps 限制。如果可能，请避免使用较旧的 USB 3.0 (5 Gbps) 端口。
• 使用高品质线缆：并非所有 USB 3 线缆都支持超过 5 Gbps 的速度。请使用经 USB 3.1 Gen 2、USB 3.2 Gen 2 或更高版本认证的线缆，最好标有速度。请谨慎使用快速充电 USB-C 线缆，其中许多线缆仅支持 USB 2.0 速度。选择经认证且标有最大速度的 USB/Thunderbolt 4 线缆，并选择较短的线缆以获得更好的性能。
• 使用 NVMe SSD 作为目标存储介质：使用 NVMe SSD 作为目标驱动器，可安装在 M.2 插槽中或通过 10 Gbps 或更快的 USB 端口连接。与传统硬盘和 SATA SSD 相比， NVMe SSD 的写入速度明显更快，从而防止目标驱动器成为瓶颈。
• 确保目标驱动器上有足够的可用空间：在进行镜像处理之前，请确保目标驱动器有足够的可用空间。对于 SSD 来说，拥有足够的可用空间至关重要，因为它可以提高写入速度，并避免驱动器接近满时出现性能下降。磁性硬盘驱动器也受益于更多的可用空间，以避免由于文件系统碎片而导致速度变慢。
• 让您的计算机在启动后稳定下来：打开计算机后最多等待 10 分钟，直到所有后台进程完成并且系统稳定下来。
• 尽量减少后台磁盘活动：确保没有运行占用大量磁盘空间的后台任务，例如 Windows 更新，因为这可能会显著降低镜像速度。
• 暂停索引和防病毒软件：Windows 搜索索引对性能的影响很小，但防病毒软件会大大减慢该过程。在磁盘镜像期间暂时暂停内置的 Windows Defender 有助于提高某些系统的镜像速度。
• 警惕源 SSD 上的 TRIM 命令：写入阻止程序无法防止磁盘内部垃圾收集和 TRIM 处理导致的数据丢失。虽然没有新的 TRIM 命令会通过写入阻止程序，但后台垃圾收集是不可避免的。如果 SSD 最近被格式化或删除了大量数据，请避免启动它，而是使用工厂模式下的专用访问工具来防止进一步的数据丢失。

2、存储介质容量和速度考虑因素

目前，最常见的 SSD 大小为 1TB 或 2TB。使用现代写阻止程序，复制 2TB 的数据可能需要一个多小时。使用较旧的写阻止程序或不遵循最佳条件，此过程很容易需要 2 或 3 个小时。对于磁性硬盘 (HDD)，读取速度要慢得多，因此不同写阻止程序或软件之间的性能差异应该很小。

请注意，由于并行性降低，较小的 SSD 驱动器通常会比容量较大的 SSD 驱动器慢。此外，磨损程度较高（写入次数较多）的 SSD 可能会因内部数据校正算法的开销而出现随机减速。最后，相同容量的旧 SSD 驱动器可能比现代 SSD 驱动器更快或更慢，具体取决于所使用的技术（MLC、平面 TLC、3D TLC 或 QLC NAND）和安装的 NAND 芯片数量（这等于并行性，会影响读写速度）。

3、镜像格式对速度的影响

在取证镜像过程中，最常用的格式是 .e01，采用默认压缩设置。当需要存储多个磁盘镜像时，压缩非常有用。dd/raw 格式不太常用，因为它缺乏压缩，导致文件体积较大。

• RAW 格式使用场景：需要最大程度的兼容性和多功能性；需要最大数据提取速度；源磁盘几乎已满；不需要压缩。避免在以下情况中使用：当必须使用 E01时；文件头中的元数据很重要时；需要压缩时。
• E01 格式使用场景：源磁盘有足够的可用空间或文件压缩良好；必须使用 E01时；文件头中的元数据至关重要。避免在以下情况中使用：源磁盘几乎已满，导致压缩无效并使镜像创建变得复杂时；不需要压缩时。
• AFF4 格式使用场景：您正在寻找一个现代的解决方案；需要更灵活的元数据处理和改进的性能。避免在以下情况中使用：必须使用 E01时；您的取证分析工具不支持 AFF4 时。
• EWF 格式：避免在以下情况中使用：这种格式尚未得到广泛支持，因此可能会限制可用性。

要实现最大成像速度，需要遵守几个条件并使用适当的设备和软件。实施这些建议可以大大减少磁盘镜像所需的时间。