Scalpel 1.54 gegen Foremost 1.1

Am 13. Februar wurden mit Scalpel v1.54 und Foremost v.1.1 zwei Carver veröffentlicht. Was läge da näher, als beide Programme gegeneinander antreten zu lassen?

Als Referenz für den Benchmark dient mir das Original, Foremost v0.69. Ich verwende das RPM von Dag Wieers für Fedora Core 3. Scalpel und Foremost compiliere ich aus den Sourcen. Beides gelingt unter Linux ohne Probleme: configure, make, fertig!

Die Programme sollen aus einem ca. 590 MB großes Abbild eines Dateisystems alle Word DOC-Dokumente extrahieren. Als nahe Verwandte können Scalpel und Foremost die gleiche Konfigurationsdatei verwenden. Der Testrechner hat etwa 500 MB freien Arbeitsspeicher und eine P4 CPU, die mit Hyperthreading und SMP-Kernel betrieben wird. Leistungshungrige Systemdienste laufen während des Tests nicht.

Jedes Programm absolviert zunächst einen Probelauf, um das Abbild in den Cache einzulesen. Es folgen drei mit time(1) gestoppte Wertungsläufe. Für alle drei Zeiten wird ein Mittelwert gebildet. Das Ergebnis wird auf die Zeit von Foremost v0.69 normiert. Eine kleinere Zahl bedeutet also eine schnellere Programmausführung. Die Speicherlast messe ich nicht.

 Scalpel 1.54Foremost 0.69Foremost 1.1
real0,50610,649
user0,39110,392
sys0,15110,143
Scalpel im Vergleich mit Foremost

Für alle extrahierten Dateien berechne ich MD5-Prüfsummen. Der Vergleich zeigt, dass alle drei Programme den gleichen Satz von Dateien erzeugen.

Gegenüber der leicht betagten Version 0.69 ist der Einsatz der beiden aktuellen Varianten ein deutlicher Gewinn. Scalpel setzt sich auch gegen das aktuelle Foremost durch. Allerdings bieten beide Programme geringfügig unterschiedliche Optionen. Es lohnt sich also, beide Programme vorzuhalten und je nach konkreter Aufgabenstellung auszuwählen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.