09 January 2012

[Tool] FTK Imager 3.0


Bài viết liên quan:

Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.
Bei den Abbildformaten ist das quelloffene, von Simson, L. Garfinkel und Basis Technology Corp. entwickelteAdvanced Forensics Format (AFF) hinzugekommen. Neu hinzugekommen ist die Unterstützung für das Veritas File System (VXFS), Microsofts exFAT und das zunehmend beliebter werdende Ext4. Die größte Neuerung ist jedoch, dass der Imager unter Microsoft Windows jetzt auch Abbilder in das Betriebssystem einbinden kann. Hierbei gibt es mehrere Optionen: Vollständige Abbilder physischer Medien lassen sich als virtuelles physisches Gerät einbinden, und so mit anderen systemnahen Werkzeugen, zum Beispiel einem Disk Editor, betrachten. Enthaltene FAT- und NTFS-Partitonen werden auf Wunsch gleich mit einem eigenen Laufwerksbuchstaben verfügbar gemacht. Abbilder einzelner Partitionen lassen sich als logisches Laufwerk mounten.



FAT- und NTFS-Partitionen lassen sich auch beschreibbar in Windows einbinden. Von dieser Möglichkeit sollte man jedoch nur nach reiflicher Überlegung Gebrauch machen, um die Integrität einer forensischen Kopie nicht zu gefährden. Neben den in den Release Notes erwähnten Abbildformaten konnte ich übrigens auch eine virtuelle Disk von VMware problemlos betrachten und auch mounten.



0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))