FTK Imager 3.0

Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.
Bei den Abbildformaten ist das quelloffene, von Simson, L. Garfinkel und Basis Technology Corp. entwickelte Advanced Forensics Format (AFF) hinzugekommen. Neu hinzugekommen ist die Unterstützung für das Veritas File System (VXFS), Microsofts exFAT und das zunehmend beliebter werdende Ext4. Die größte Neuerung ist jedoch, dass der Imager unter Microsoft Windows jetzt auch Abbilder in das Betriebssystem einbinden kann. Hierbei gibt es mehrere Optionen: Vollständige Abbilder physischer Medien lassen sich als virtuelles physisches Gerät einbinden, und so mit anderen systemnahen Werkzeugen, zum Beispiel einem Disk Editor, betrachten. Enthaltene FAT- und NTFS-Partitonen werden auf Wunsch gleich mit einem eigenen Laufwerksbuchstaben verfügbar gemacht. Abbilder einzelner Partitionen lassen sich als logisches Laufwerk mounten.

  FTK Imager bindet  

 FAT- und NTFS-Partitionen lassen sich auch beschreibbar in Windows einbinden. Von dieser Möglichkeit sollte man jedoch nur nach reiflicher Überlegung Gebrauch machen, um die Integrität einer forensischen Kopie nicht zu gefährden. Neben den in den Release Notes erwähnten Abbildformaten konnte ich übrigens auch eine virtuelle Disk von VMware problemlos betrachten und auch mounten.

  FTK Imager 3 kann nun auch VMware Abbilder lesen

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12