天津鸿萌科贸发展有限公司是 ElcomSoft、PassMark OSForensics 等系列数据调查取证软件及工具的授权代理商。

现代 NVMe SSD 需要专门的取证分析方法。这些设备的速度和容量每年都在增长，在制作磁盘镜像时，传输大量数据的速度和可靠性便面临着重大挑战。在本文中，我们将使用 OSForensics 和 FTK Imager 测试高速三星 980Pro NVMe 驱动器的镜像过程。另外，我们还测试了 NVMe 写入阻止程序的原型，并产生了一些有趣的结果。

快速存储设备的问题

人们可能普遍会认为，对高速 SSD 进行镜像似乎比处理速度较慢的 SSD 要快得多。但是，快速存储设备会带来一系列问题，而速度较慢的 SATA 驱动器通常不会遇到这些问题：

1. USB 带宽限制：执行取证提取时，不能只将 NVMe 设备连接到计算机的 M.2 插槽。相反，必须使用写保护适配器，该适配器通常连接到 USB 端口。这种情况下，即使连接到快速 10gbps USB 3.2 Gen 2 端口，也永远不会达到快速 SSD 的峰值读取速度。使用更快的 Gen 2×2 或 USB4 端口并不总是完美的解决方案，理由如下。
2. 用于将 NVMe 驱动器连接到 USB 的 10gbps 适配器：这些常见的适配器通常以 NVMe 驱动器标称的一小部分速度工作，即便是那些最慢的 NVMe 驱动器。更快的适配器需要更高速的 USB 端口，而并非所有设备都具备这些端口，同时，能够跨越 10gbps 速度的写保护适配器并不多。
3. USB 适配器容易过热：当驱动器临时连接而没有适当冷却时，尤其如此。缺乏足够的冷却，如一次性硅胶导热垫和金属散热器，会导致热节流，从而导致性能急剧下降。
4. 稳定提取所需的高质量硬件：USB 端口、线缆和适配器的质量和性能都会影响整体稳定性。当计算机使用电池供电而不是插入电源运行时，还可能会遇到更严重的速度变慢的情况。
5. 目标驱动器的持续写入速度很重要：即使其他一切都很完美，镜像速度也会受到目标驱动器的持续写入速度特性的影响。不要将此性能与制造商规格中列出的峰值连续写入速度混淆，因为持续速度要低得多，并且根据写入的数据量和目标驱动器上的剩余可用空间，它往往会急剧下降。

在实际场景中，实现接近 SSD 驱动器标称的连续读取速度的镜像速度几乎是不可能的。调整后的目标要温和得多；我们的目标是“USB 端口 + 适配器”组合的带宽，通常为 10GB/s 左右。考虑到 USB 开销，理论最大速度约为 1 GB/s。

测试环境和设置

在这一轮测试中，使用的是配备英特尔酷睿 i7-13700H 处理器、32 GB RAM 和快速 1 TB PCIe Gen4x4 SSD 的笔记本电脑，该电脑配置有 USB 3.2 Gen2 和 USB 4 端口。

需要制作镜像的 NVMe 驱动器（256GB 三星 980 Pro）通过专用的 NVMe 转 USB 适配器连接到 10 GB 的 Type-C 端口，而镜像则会被保存到笔记本电脑的内部 NVMe SSD 中。此设置可确保在处理大量数据时具有显著的速度空间。

我们在测试中使用的工具：PassMark OSForensics 和 FTK Imager。

测试结果

正如预期的那样，OSForensics 提供了最佳性能。当我们将 NVMe 驱动器连接到 USB 4.0 端口时，平均镜像速度超过 1 GB/s（具体来说，达到了 1007 MB/s），仅用 4 分钟就完成了镜像。当同一个驱动器连接到 USB 3.2 Gen 2 端口时，速度下降了约 1%，表明限制因素不是 USB 端口，而是用于连接驱动器的适配器。

相比之下，FTK Imager 要慢得多，完成相同的任务需要 7.5 分钟，平均速度为 525 MB/s，几乎是 OSForensics 速度的一半。

NVMe 存储设备是常见的存储介质类型。在对 NVMe 设备取证分析过程中，最大限度地提高镜像速度非常重要。节省的任何时间都是非常宝贵的。但是，要实现高镜像速度，需要所有因素的正确组合：计算机、线缆、适配器、写保护程序，甚至目标存储设备都会影响镜像速度。ElcomSoft 取证工具提供的写保护程序，在该方面表现出优异性能。