Forensics Add-On for DeepSpar Disk Imager


Diese Option ergänzt die umfangreichen Datenwiederherstellungsfunktionen des DeepSpar Disk Imager 4 um die folgenden Forensikfunktionen :

  • Prozedur für die forensische Gewinnung von Datenträgerabbildern. Es kann nicht auf die Quellfestplatte geschrieben werden.
  • Für die meisten Festplatten können unbekannte Benutzer- und Master-Passwörter entfernt oder angezeigt werden.
  • Es können herstellerspezifische ATA-Befehle verwendet werden, um eine automatische Neuzuordnung fehlerhafter Sektoren zu deaktivieren, so dass Sie mehr Daten retten können, statt sie zu verlieren.
  • Eine Option zur Abbilderstellung von beliebigen an den PC angeschlossenen funktionierenden Speichergeräten in eine Raw-Laufwerksimage-Datei. Für die Datenwiederherstellungsfunktion ist nach wie vor eine sektorweise ausgeführte Erstellung eines Datenträgerabbildes erforderlich.
  • Komplette Aufzeichnung aller vom Ermittler ausgeführten Schritte bei der Bearbeitung eines Falles.
  • Normales und erweitertes sicheres Löschen für das Ziellaufwerk.
  • Zugriff auf den versteckten DCO-Bereich.

Neben den oben genannten Funktionen wird auch eine forensische Berichtsfunktion auf Dateiebene eingeführt. Dieser forensische Dateistatusbericht enthält die folgenden Daten für jede abgebildete Datei: absoluter Pfad, Dateiname, Größe, Erstelldatum, Änderungsdatum, Gesamtanzahl der Sektoren, intakte Sektoren, beschädigte Sektoren, nicht lesbare Sektoren, nicht verarbeitete Sektoren, Position aller Dateifragmente, MD5-Hash und mehr.

Beim Umgang mit Festplatten, die fehlerhafte/nicht lesbare Sektoren enthalten, ist es entscheidend, genau zu wissen, wo sich diese Sektoren befinden. Sie können sich ausschließlich auf nicht genutzten Laufwerksbereichen befinden (und somit nur geringe Auswirkungen haben), oder sie können an kritischen Stellen liegen. Der primäre Zweck eines solchen Berichts besteht in der Handhabung dieses Problems und der Darstellung der Integrität bestimmter Dateien, um nachweisen zu können, dass Beweisdateien völlig intakt oder teilweise beschädigt sind. Ein einfaches Beispiel für den Dateizustandsbericht: