Como já comentei em artigos anteriores, o formato aff permite compressão dos dados, e é possível indicar, durante a aquisição pelo aimage, o nível de compressão (através do parâmetro compression) e o algoritmo de compressão (ZLIB ou LZMA).
A idéia desse estudo é achar combinações ideais para esses dois parâmetros, através da aquisição de uma imagem forense do mesmo pen drive de 876 Mb (837 Mb reais), variando apenas esses dois parâmetros. Vamos aos resultados:
| Compression | Tamanho da imagem | Tempo de aquisição |
| Sem compressão | 837 Mb | 1m36s |
Usando ZLIB (default)
| Compression | Tamanho da imagem | Tempo de aquisição |
| -1 (default) | 762 Mb = 8,96% menor | 3m24s = 112,5% mais demorado |
| 0 | 837 Mb = idêntico | 1m51s = 15,63% mais demorado |
| 1 | 764 Mb = 8,72% menor | 3m11s = 98,96% mais demorado |
| 2 | 764 Mb = 8,72% menor | 3m11s = 98,96% mais demorado |
| 3 | 763 Mb = 8,84% menor | 3m12s = 100% mais demorado |
| 4 | 763 Mb = 8,84% menor | 3m20s = 108,33% mais demorado |
| 5 | 762 Mb = 8,96% menor | 3m22s = 110,42% mais demorado |
| 6 | 762 Mb = 8,96% menor | 3m24s = 112,5% mais demorado |
| 7 | 762 Mb = 8,96% menor | 3m24s = 112,5% mais demorado |
| 8 | 762 Mb = 8,96% menor | 3m34s = 122,92% mais demorado |
| 9 | 762 Mb = 8,96% menor | 3m48s = 137,5% mais demorado |
Usando LZMA
| Compression | Tamanho da imagem | Tempo de aquisição |
| -1 (default) | 721 Mb = 13,86% menor | 14m13s = 788,54% mais demorado |
| 0 | 721 Mb = 13,86% menor | 13m55s = 769,79% mais demorado |
| 1 | 721 Mb = 13,86% menor | 13m53s = 767,71% mais demorado |
| 4 | 721 Mb = 13,86% menor | 14m = 775% mais demorado |
| 5 | 721 Mb = 13,86% menor | 13m53s = 767,71% mais demorado |
Conclusões
- Se tamanho não é problema, o jeito mais rápido de capturar uma imagem usando o aimage (ou o Adepto do Helix) é pedindo a opção de não-compactação.
- Se o tempo não é problema, o menor arquivo de imagem gerado é obtido usando-se o aimage com a opção -L (algoritmo LZMA). Como as opções de compress geram arquivos praticamente de mesmo tamanho, a melhor opção para usar com o -L seria o --compression=1 (ou =5).
- Se o principal é ter compactação, mas levando o tempo em consideração, então os algoritmos LZMA são proibitivos. O mais rápido nesse algoritmo foi quase 6 vezes mais demorado que o mais lento das opções do ZLIB.
- Indo nessa linha, de ter boa compactação, mas com tempos razoáveis, a melhor opção seria o algoritmo ZLIB (default) com a opção compression=5. Essa opção oferece a melhor taxa de compactação, e dentro dessa taxa, o melhor tempo, tudo isso levando-se em consideração os valores absolutos.
- Os que apresentaram maior/melhor taxa de transferência foram as opções compression=1 ou =2, com o algoritmo ZLIB (default). Esses são os que apresentaram a melhor relação custo x benefício, e são as indicadas para situações genéricas onde compactação é desejada e o tempo de aquisição deve ser optimizado.
- O algoritmo LZMA não pode ser setado pelo Adepto.
Comentários ?
Até o próximo post !
Nenhum comentário:
Postar um comentário