FTK Imager Version 2.4

Wie ich gesehen habe, gibt es den FTK Imager von Access Data bereits in der Version 2.4. Der Imager erstellt forensische Kopien von Datenträgern in mehreren gebräuchlichen Zielformaten.

Natürlich beseitigt die neue Version wieder einige Bugs. So darf ein Abbild im EnCase-Format (*.E01) jetzt auch aus mehr als 776 Segmenten bestehen; nach der Endung .EZZ geht es nun einfach mit .FAA weiter.

Im Fall eines Abbruchs der Datensicherung durch den Anwender schließt der FTK Imager jetzt das Image korrekt ab. Damit läßt es sich jetzt zumindest potenziell weiterverarbeiten. Ob es allerdings die gesuchten Dateien und die benötigten Informationen des Dateisystems enthält, ist eine andere Frage.

Die vielleicht auffälligste Neuerung ist die Möglichkeit, bereits beim Erstellen des Abbilds auch eine Liste aller enthaltenen Dateien erzeugen zu lassen. Hierzu genügt es, eine Option im Dialog zu aktivieren:

FTK Imager 2.4 erstellt auf Wunsch eine Liste aller Dateien des gesicherten Mediums.

Die Aufstellung enthält durch Tabulatoren getrennt für jede Datei folgende Daten:

  • Name
  • Pfad
  • Größe
  • MAC-Times
  • gelöscht

Weitere Informationen gibt es in den Release Notes, die dem Programm beiliegen. Ein Blick lohnt sich, denn hier wird auch beschrieben, wie sich der FTK Imager auf die notwendigsten Dateien reduzieren und auf einem USB-Stick installieren lässt.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.