FTK Imager 2.6.0

AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.

Wie den Release Notes zu entnehmen ist, wurden einige Probleme im Zusammenhang mit dem von EnCase her bekannten Expert Witness Format (E01) behoben.

Auch die Verarbeitung von Partitionen der Dateisysteme JFS und UFS, sowie des Logical Volume Managers LVM2 wurde erweitert.

Schließlich kann jetzt auch der FTK Imager den Hauptspeicher des lokalen Computers sichern. Hierzu erstellt der FTK Imager zunächst eine Datei (ad_driver.sys) und lädt diese dann als Treiber \Device\addriver in den Betriebssystemkern. Hierzu benötigt man zumindest lokale Administratorrechte.

FTK Imager kopiert den Arbeitsspeicher

Es erscheint fraglich, ob ein komplexes Programm mit grafischer Benutzerschnittstelle wie der
FTK Imager zur Sicherung volatiler Daten geeignet ist. Auf einem Testsystem führte der
Start des FTK Imager zu Lesezugriffen auf 70 DLLs und zugehörige Dateien. Eine umfassendere Untersuchung der Ressourcennutzung ist hier angeraten.

Nach der ersten Ausführung des FTK Imagers ließ sich kein weiteres Speicherabbild mehr
erstellen. Fälschlicherweise behauptet der FTK Imager, dass mit diesem Betriebssystem kein
Speicherabbild erstellt werden könne. Beenden und Neustart des Imagers behebt das Problem.

Die Meldung des FTK Imagers täuscht über die wahre Ursache des Fehlers

Am Rande bemerkt empfehle ich auch nicht, dem Vorschlag des FTK Imagers zu folgen und binäre Daten in einer Datei mit der Extension ".txt" zu speichern.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12