Страница 1 из 2

Скорость работы в Encase

СообщениеДобавлено: 08 фев 2012, 10:25
slavok
Здравствуйте коллеги!
Мы являемся счастливыми обладателями Encase 7.02.01.01 (установлена на очень мощном компьютере с достаточно быстрыми накопителями, к сожалению не SSD но одно из самого быстрого SATA) и разбираемся как оно работает.
Программа приятная, но!
Но, при работе с накопителем на 160 ГБ проводили эксперименты:
- восстановление удаленки, поиск по ключевым словам и индексирование для быстрого поиска - 177 дней, через двое суток работы 175 дней.
- восстановление удаленки - более суток
- поиск по ключевым словам (2 слова) - ждал около полутора суток, потом прервал
- фильтр по всем файлам измененным и созданным после даты - ждал минут 20 и выключил.

Тот же фильтр в версии 4.2 отрабатывается за секунд 10-15 на том же винте на компьютере в разы медленнее того, на котором стоит версия 7.
А теперь вопрос - что же такое происходит? или версия 7 должна так тупить?

Re: Скорость работы в Encase

СообщениеДобавлено: 08 фев 2012, 11:50
Igor Mikhaylov
Выкачайте 6 версию и сравните результаты (семерошный поддерживает Encase 6).

Re: Скорость работы в Encase

СообщениеДобавлено: 09 фев 2012, 06:55
kfv
А можно подробно:

1) поиск производился на образе(компрессия или без, размер частей образа) или через блокиратор?
2) запускались одновременно несколько задач (восстановление, поиск) или использовали скрипты?
3) где происходит нехватка ресурсов - дисковая система/ оперативная память/ процессор (монитор ресурсов Вам в помощь)?
4) наличие антивирусного ПО - может мешает что-то поиску
5) конфигурацию компьютера можно увидеть.

Р.S. Фильтр в четверке по выбору чего-нибудь более секунды не работает в принципе - выборка мгновенная ( у вас 10-15 секунд слишком долго).

Re: Скорость работы в Encase

СообщениеДобавлено: 09 фев 2012, 09:19
xxx2x
Не забываем отключать верификацию, которая в тихоря начинает работать при открытии образа. Я бы ещё посмотрел в сторону накопителя, есть подозрения что у некоторых моделей необходимо вкорячивать перемычку ограничения передачи данных на 1.5 Gb (Limit to 1.5 Gb/s OpeOperation) по крайней мере если работаешь через fastblok это нужно делать точно- установлено опытным путём. Ещё за 6 замечал пожирание ресурсов памяти на 64 битной семёрке (та же верификация).

Re: Скорость работы в Encase

СообщениеДобавлено: 10 фев 2012, 13:04
slavok
6 - версию пока не представляется возможным поставить.
Kfg:
1. Образ делался на винчестер Seagate 1500гб (модель не скажу на вскидку) при помощи PC-3000 побитово, т.е. не в файл образа.
2. при помощи process avidence указывались галочками те задачи, которые я указывал выше, а насколько параллельно они выполняются и как одному гуидансу известно. скрипты не использовались.
3. ресурсов хватает везде! и процессора и оперативки и места на винтах.
4. антивирус - касперский, отключить его не представляется возможным((((
5. Intel Core i-7 2600, ОЗУ 16ГБ, видео думаю неважно но не ниже Geforce 460,винты на которых стоит система WD Black 1 Тб.

энкейс 4 работает на оооочень древнем компе - чтото из АМД 2500 на 1Гб оперативки и по опыту 10-15 сек - это для него быстро))))

xxx2x - операционка 64 семерка - скорее всего проблема 6 осталась и в 7. попробую поискать верификацию (может подскажете где ее отключить?). может действительно из-за этого.

Re: Скорость работы в Encase

СообщениеДобавлено: 11 фев 2012, 10:08
kfv
Как вариант - раз образ создан в РС3000, после подключения его к 7 энкейсу, повторно сделать сбор информации - т.е. перепаковать образ в формат энкейса.
Затем уже на перепакованном запустить поиск - может ему формат образа не нравится

Re: Скорость работы в Encase

СообщениеДобавлено: 13 фев 2012, 12:43
slavok
Полученный образ не в файле - а побитовая копия на другом накопителе, т.е. энкейсу фиолетово как получена копия - он работает с живыми данными.
а вот с верификацией похуже - так и не удалось найти где же ее отключить

Re: Скорость работы в Encase

СообщениеДобавлено: 13 фев 2012, 15:39
xxx2x
После того как создали дело и подключили диск, у Вас откроется главное окно программы. Смотрите в правый нижний угол программы, там начинается процесс verifying. Кликните по нему и отключите.

Re: Скорость работы в Encase

СообщениеДобавлено: 23 мар 2012, 03:32
drloser
Вот тут Encase 7 - Refund http://www.forensicfocus.com/Forums/viewtopic/t=8831/ активно обсуждают необходимость и неизбежность возврат 7-й версии EnCase производителю, а своих денег, соответственно, обратно. Ну, или возвращение на версию 6.19.

Re: Скорость работы в Encase

СообщениеДобавлено: 23 мар 2012, 04:00
Igor Mikhaylov
Тема "Encase 7 - Refund" - зачетная. Я, кулуарно, обсуждаю ее с некоторыми людьми.


На пользователях Encase - сделали деньги. Хорошие деньги. Печально осознавать, что все мы (пользователи) оказались заложниками людей, которым абсолютно не интересно, что станет с GSI и со всей Digital Forensic в целом. Их интересуют только деньги и их приумножение.

Сейчас эти люди будут проворачивать ту же финансовую схему с AccessData. Готовьтесь увидеть небывалый взлет FTK (желающие могут успеть затарится пока еще дешевыми акциями компании). А лет через 7-8 резкое падение.

Кто следующий? ProDiscover?

Пользователям Encase стоит оставаться на шестой версии и ждать пока производитель доработает бета-версию Encase 7.

Re: Скорость работы в Encase

СообщениеДобавлено: 23 мар 2012, 20:17
friend
дк в итоге encase 7 версию можно сейчас брать или нет? а то у нас спецификация на тендер готовится

Re: Скорость работы в Encase

СообщениеДобавлено: 23 мар 2012, 20:22
Igor Mikhaylov
friend писал(а):дк в итоге encase 7 версию можно сейчас брать или нет? а то у нас спецификация на тендер готовится

А другую вам не продадут. Однако, в письме, со ссылками на дистрибутив, придут ссылки на седьмую и шестую версию и она (шестая версия) будет работать с вашим ключем.

Re: Скорость работы в Encase

СообщениеДобавлено: 24 мар 2012, 20:48
friend
ветку, которую вы указали я прочитал, а можно по подробней описать проблемы encase 7, а то я даже с 6 не работал.

Re: Скорость работы в Encase

СообщениеДобавлено: 25 мар 2012, 05:43
Igor Mikhaylov
friend писал(а):ветку, которую вы указали я прочитал, а можно по подробней описать проблемы encase 7, а то я даже с 6 не работал.

Это не серьезно. Что ж вам сюда весь ихний bag track переписывать? :D

Re: Скорость работы в Encase

СообщениеДобавлено: 25 мар 2012, 23:13
Константин
Igor Michailov писал(а): Готовьтесь увидеть небывалый взлет FTK (желающие могут успеть затарится пока еще дешевыми акциями компании). А лет через 7-8 резкое падение.

Не буду спорить. Может быть и будет взлет. В нашей же реальности, работать с FTK повседневно - практически невозможно (даже в режиме "field mode" скорость потрясающе низкая). А вот EnCase 7 .... :shock: - не ожидал. Похоже, что наш медленный, постепенный переход на opensource оправдан.