Эта статья для людей занимающихся форензикой. Сегодня я познакомлю вас с интересным плагином, который поможет открыть форензик-образы FTK Imager и Encase в популярном архиваторе 7-Zip. Кстати, в статье «Как снять дамп жесткого диска» мы уже рассказывали про FTK Imager (The Forensic Toolkit Imager).
Как открыть образы FTK Imager и Encase в 7zip
Forensic7z — это плагин для популярного архиватора 7-Zip. Расширение позволяет представить в виде архивов образы дисков, создаваемые специализированным программным обеспечением, используемым в компьютерной криминалистике, таким как FTK Imager или Encase.
Forensic7z поддерживает образы дисков в следующих форматах:
- ASR Expert Witness Compression Format (.S01)
- Encase Image File Format (.E01, .Ex01)
- Encase Logical Image File Format (.L01, .Lx01)
- Advanced Forensics Format (.AFF)
- AccessData FTK Imager Logical Image (.AD1)
К сожалению на данный момент не поддерживаются зашифрованные образы.
Установка плагина Forensic7z
Для начала необходимо скачать Forensic7z с официального страницы разработчика. В скаченном архиве вы найдете 3 файла:
- Forensic7z.64.dll – 64 битная версия Forensic7z
- Forensic7z.32.dll – 32 битная версия Forensic7z
- ReadMe.txt – небольшая инструкция
Для установки плагина в папке, в которую установлена программа 7-Zip, необходимо создать папку Formats. В зависимости от разрядности программы 7-Zip в созданную папку нужно поместить либо файл Forensic.64.dll, либо Forensic.32.dll. После этого архиватор 7-Zip при запуске будет автоматически находить плагин и использовать его для открытия образов дисков.
Использование Forensic7z
При открытии многотомного образа диска рекомендуется открывать в 7-Zip первый том образа, в этом случае Forensic7z сможет автоматически найти и корректно обработать все остальные тома образа.
Если открываемый образ — это образ физического диска, то при открытии его в 7-Zip вы увидите только один файл, который представляет собой RAW-образ диска без сжатия и дополнительных метаданных:
Если отображаемый файл — это образ диска с файловой системой, поддерживаемой программой 7-Zip (FAT, NTFS, exFAT и ряд других), то прямо в архиваторе вы можете открыть этот файл как вложенный архив (эта процедура не требует полного извлечения файла) и просматривать и извлекать содержимое диска:
Если же открываемый образ диска — это logical evidence file, то при открытии его в 7-Zip вы увидите список всех файлов, содержащихся в этом образе:
При выборе команды Properties можно увидеть различную метаинформацию, записанную в образе диска, такую как Evidence number, Case number, Examiner name и т.д.:
Во всем остальном я думаю вы разберетесь сами. Там все интуитивно понятно.
Наш сайт посвящен информационной безопасности, на котором также размешаются материалы касаемо форензики. Поэтому я рекомендую вам подписаться на наши новости в социальных сетях, это бесплатно!
Еще по теме: Лучшие форензик-дистрибутивы
