Статья AccessData FTK Imager против Arsenal Image Mounter

При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный.
Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа).

1. Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно);
2. В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker (пароль у нас есть - вот пример каким ПО можно попытаться и его пройти Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker ).

Вот что будет с FTK Imager:

Вот что мы получим в системе:

Мало того что не все разделы есть, так еще они и пустые, а раздел который зашифрован BitLocker предлагает форматировать, но в HEX мы точно видим что он зашифрован:

​

Вот что будет с Arsenal Image Mounter:

Вот что мы получим в системе:

Система предлагает ввести пароль для раздела который зашифрован BitLocker.

Вид того что расшифровано (дабы ни кто не усомнился и не принял это за фейк):

​

​

Вывод: AccessData FTK Imager VS Arsenal Image Mounter - Очевиден!

 

[Strongust]

Вывод: AccessData FTK Imager VS Arsenal Image Mounter - Очевиден!

О каком выборе речь непонятно, криминалисты юзают другие инструменты, нет там бесплатных или хлама из сети который можно скачать в 2 клика. Это дорогие и узконаправленные комплексы, а хлам о котором здесь написано, никто не юзает.

 

[Сергей Попов]

криминалисты юзают другие инструменты

Категоричное заявление криминалисту

 

[Sunnych]

О каком выборе речь непонятно, криминалисты юзают другие инструменты, нет там бесплатных или хлама из сети который можно скачать в 2 клика. Это дорогие и узконаправленные комплексы, а хлам о котором здесь написано, никто не юзает.

Почитайте блог Цимермана и других действующих криминалистов США и не только, и Вы сильно удивитесь! А ещё Вы наверно думаете что и образы должны быть в идеале Е01, а не DD - почитайте поработайте, а после утверждайте и указывайте исследовательские данные или методы крим. структур!

 

[Strongust]

Категоричное заявление криминалисту

То есть твое сообщение про категоричное заявление по сабжу? а мое тс про использование какие инструменты юзает нет?
Права на форуме это не привилегия, это ответственность, скажу проще, что бы понятней было, с логикой у тебя затруднения, заканчивай херней страдать.

 

[Igor_Mich]

А ещё Вы наверно думаете что и образы должны быть в идеале Е01, а не DD

Я не утверждаю. что E01 лучше чем DD, или DD лучше чем E01, но:
- в случае внесения изменений в образ E01 (намеренных или случайных), вам не придется выбрасывать образ (как это произойдет в случае с DD). Вы будете точно знать в каком блоке (а блок имеет размер 64Кб) внесены изменения и просто исключите этот кусочек образа из исследования (это важно когда у вас нет оригинального носителя и соответственно нет возможности сделать образ по новой);
- Е01 можно создать шифрованным (DD не шифруется при создании), что затрудняет доступ к данным находящимся в образе, э-э-э, скажем так, посторонним (на днях была большая статья на privacyinternational.org, обсуждали как раз проблему сохранения конфиденциальности личных данных граждан при проведении криминалистических исследований);
- за счет сжатия (в DD данные не сжимаются при создании), образы в E01 занимают меньше места на диске компьютера исследователя (это важно, например когда надо исследовать 4Тб жесткий диск, а у тебя всего 1 Тб свободного места на компьютере. А тут и образ влезет и еще место под процесснутые данные останется (не всякого носителя конечно, с оговорками, но тем не менее));
- и т.д.

Очень часто нужно получить наилучший способ монтирования криминалистического образа - полностью бесшовный.

Это предложение лучше переделать. Сейчас он похоже на перевод какого-то текста с помощью Google Translater.