FTK 2.0 - Geschwindigkeit

| 1 Kommentar

Soeben habe ich einen weiteren Versuch mit dem neuen FTK 2.0 beendet: das Aufbereiten eines USB-Sticks mit 256 MB Kapazität führte zu einem Volltextindex von gut 3 GB und etwa 200 MB in der Oracle-Datenbank. Die Bearbeitungszeit hierfür betrug allerdings mehr als 4 Stunden. Grund genug, die Dinge einmal genauer zu betrachten.

Im Gegensatz zu den bisherigen Versuchen wurde diesmal der vorhandene Arbeitsspeicher nicht voll ausgenutzt. Auch die CPU-Auslastung zeigte Reserven. Insbesondere zum Ende der Verarbeitung hin war die CPU über zwei Stunden nahezu im Leerlauf, während eine der Festplatten hektisch klapperte.

Diesmal ist also der Massenspeicher der Engpass. Wo genau liegen die Ursachen und wie lässt sich Abhilfe schaffen?

Grundsätzlich versuche ich, gleichzeitige Operationen auf unterschiedliche Laufwerke zu verteilen. So werden dann Daten von einer Festplatte gelesen, verarbeitet, und das Ergebnis dann auf eine zweite Platte gespeichert.

Der Computer ist daher wie folgt konfiguriert:

  • Disk 1: Betriebssystem, temporäre Dateien des Betriebssystems, Auslagerungsdatei
  • Disk 2: forensische Abbilder
  • Disk 3: Falldatei (EnCase), exportierte Dateien, Datenbank (FTK 2)

In der ersten Phase der Verarbeitung läuft alles nach Plan. FTK liest die Abbilder von Disk 2, schreibt die Ergebnisse in die Oracle-Datenbank auf Disk 3 und wenn der Speicher wieder einmal nicht reicht, dann wächst die Auslagerungsdatei auf Disk 1.

Dann aber beginnt eine zweite Phase der Verarbeitung. FTK liest wiederum die Abbilder auf Disk 2, schreibt dann aber Daten in ein Verzeichnis für temporäre Dateien auf Disk 1. Dort bereitet sie dtSearch für den Volltextindex auf. Fragmente des Index werden periodisch zusammengeführt. Der vollständige Index wird schließlich in das Verzeichnis C:\ftk-data kopiert. Dieses Verzeichnis ist unter dem Namen "ftk-data" freigegeben und wird von FTK auch als Netzwerkfreigabe angesprochen. (Die Zugriffsrechte werden Gegenstand eines gesonderten Artikels sein; ich warte hierzu noch auf eine Stellungnahme von AccessData.)

Im Performance Monitor von Windows XP (perfmon.msc) lässt sich gut beobachten, wie die konkurrierenden Schreib- und Lesezugriffe auf die selbe Festplatte zu einem Anwachsen der Warteschlangen führen.

Für "ftk-data" findet man einen UNC-Namen in der Registry. Im Prinzip sollte sich dieses Verzeichnis also auch auf eine andere Maschine verlagern lassen. Allerdings setzt der "AccessData Database Monitor" (service_db.exe) beim Start den Pfad auf die lokale Maschine zurück. Möglicherweise ist diese Funktion also den angekündigten Lab- und Professional-Versionen vorbehalten.

Es bleibt also nur, das temporäre Verzeichnis in FTK umzukonfigurieren. Die konkurrierenden Zugriffe bei der Erstellung des Volltextindex lassen sich damit allerdings nicht entflechten. Das wirksamste Mittel zur Begrenzung der Aufbereitungsdauer eines Falls sind deswegen die Optionen unter "Index refinement". Die Einstellungen lassen sich global für den Fall und auch individuell je Abbild vornehmen. Hierbei können Sie auch Filter für einen Bestimmten Zeitraum und Dateigrößen setzen.

Individuell angepasste Optionen verringern Indexgröße und Bearbeitungszeit

An FTK schätze ich besonders die dtSearch Engine. Ironischerweise ist es die Integration genau dieser Komponente, die so große Probleme bereitet.

1 Kommentar

Ich kann leider noch keine Erfahrungen mit FTK 2 teilen, da sich mein System bisher standhaft weigert, eine korrekte Installation durchzuführen.
Aber zum Thema Index nur folgender Hinweis:
Auch in FTK 2.0x sind - hier im Verzeichnis \wordnet\die Dateien für die Indexgrundlagen vorhanden: noun.dat, Adj.dat, Verb.dat und Adverb.dat.
Diese liegen lediglich in englischer Sprache vor.
Das heisst im Umkehrschluß, dass jedes deutsch Verb, Adverb, Adjektiv etc den Index vollmüllt, weil es ja nicht die Ausschlusskriterien der o.g. Dateien erfüllt.
Wen wunder also dann noch diese Indexgröße. Ich habe dieses Problem schon länger mit AD diskutiert, aber die ziehen sich natürlich auf die dtsearch-Leute zurück.
Die Lösung kann also nur sein, ganz gezielt einzelne Verzeichnisse zu indizieren, was natürlich den Gebrauchswert dieses ( und auch anderer gleichartig arbeitender)Proggies deutlich mindert!

Herbert Dauben
IT-Forensik
Finanzamt für Steuerstrafsachen und Steuerfahndung Bonn

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.