Статья AccessData FTK Imager против Arsenal Image Mounter

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный.
Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа).
  1. Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно);
  2. В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker (пароль у нас есть - вот пример каким ПО можно попытаться и его пройти Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker ).
Вот что будет с FTK Imager:

29697




























Вот что мы получим в системе:

29698

















Мало того что не все разделы есть, так еще они и пустые, а раздел который зашифрован BitLocker предлагает форматировать, но в HEX мы точно видим что он зашифрован:

29699

Вот что будет с Arsenal Image Mounter:

29700










Вот что мы получим в системе:

29701


Система предлагает ввести пароль для раздела который зашифрован BitLocker.

Вид того что расшифровано (дабы ни кто не усомнился и не принял это за фейк):

29702

29705

Вывод: AccessData FTK Imager VS Arsenal Image Mounter - Очевиден!
 
Последнее редактирование:
Strongust

Strongust

Member
18.09.2018
24
-4
Вывод: AccessData FTK Imager VS Arsenal Image Mounter - Очевиден!
О каком выборе речь непонятно, криминалисты юзают другие инструменты, нет там бесплатных или хлама из сети который можно скачать в 2 клика. Это дорогие и узконаправленные комплексы, а хлам о котором здесь написано, никто не юзает.
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
О каком выборе речь непонятно, криминалисты юзают другие инструменты, нет там бесплатных или хлама из сети который можно скачать в 2 клика. Это дорогие и узконаправленные комплексы, а хлам о котором здесь написано, никто не юзает.
Почитайте блог Цимермана и других действующих криминалистов США и не только, и Вы сильно удивитесь! А ещё Вы наверно думаете что и образы должны быть в идеале Е01, а не DD - почитайте поработайте, а после утверждайте и указывайте исследовательские данные или методы крим. структур!
 
Strongust

Strongust

Member
18.09.2018
24
-4
Недостойное поведение!
Категоричное заявление криминалисту :)
То есть твое сообщение про категоричное заявление по сабжу? а мое тс про использование какие инструменты юзает нет?
Права на форуме это не привилегия, это ответственность, скажу проще, что бы понятней было, с логикой у тебя затруднения, заканчивай херней страдать.
 
Последнее редактирование:
  • Не нравится
Реакции: Sunnych и Глюк
I

Igor_Mich

Member
13.05.2019
13
5
А ещё Вы наверно думаете что и образы должны быть в идеале Е01, а не DD
Я не утверждаю. что E01 лучше чем DD, или DD лучше чем E01, но:
- в случае внесения изменений в образ E01 (намеренных или случайных), вам не придется выбрасывать образ (как это произойдет в случае с DD). Вы будете точно знать в каком блоке (а блок имеет размер 64Кб) внесены изменения и просто исключите этот кусочек образа из исследования (это важно когда у вас нет оригинального носителя и соответственно нет возможности сделать образ по новой);
- Е01 можно создать шифрованным (DD не шифруется при создании), что затрудняет доступ к данным находящимся в образе, э-э-э, скажем так, посторонним (на днях была большая статья на privacyinternational.org, обсуждали как раз проблему сохранения конфиденциальности личных данных граждан при проведении криминалистических исследований);
- за счет сжатия (в DD данные не сжимаются при создании), образы в E01 занимают меньше места на диске компьютера исследователя (это важно, например когда надо исследовать 4Тб жесткий диск, а у тебя всего 1 Тб свободного места на компьютере. А тут и образ влезет и еще место под процесснутые данные останется (не всякого носителя конечно, с оговорками, но тем не менее));
- и т.д.
Очень часто нужно получить наилучший способ монтирования криминалистического образа - полностью бесшовный.
Это предложение лучше переделать. Сейчас он похоже на перевод какого-то текста с помощью Google Translater.
 
Последнее редактирование:
  • Нравится
Реакции: Sunnych
Мы в соцсетях: