Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты


Запуск программы (пошаговый)

Код:



find-module -name *forensic*


https://forum.antichat.xyz/attachments/4845040/img_4c62d7ee22.png

установка

Код:



Install-Module -Name PowerForensicsv2
Get-ChildItem 'C:\Program Files\WindowsPowerShell\Modules\'


https://forum.antichat.xyz/attachments/4845040/img_adb0c366f4.png

Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем

Код:



Import-Module PowerForensicsv2
Get-Command -Module PowerForensicsv2


https://forum.antichat.xyz/attachments/4845040/img_8daad1baa5.png

У нас в системе подключен (AccessData FTK Imager против Arsenal Image Mounter (https://forum.antichat.xyz/threads/567755/)) криминалистический образ который был зашифрован BitLocker (Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker (https://forum.antichat.xyz/threads/567823/)) в текущей системе интересующий раздел подключен буквой "F"

Invoke-ForensicDD имеет параметр -InFile, который следует использовать для указания на физический диск (\\. \PHYSICALDRIVE0) или логический том (\\. \ F . Необязательный параметр -OutFile направляет вывод в файл вместо потока вывода PowerShell. Параметры -Offset, -BlockSize и -Count предоставляют инструкции относительно того, какие данные возвращать (-Offset и -BlockSize должны делиться на размер сектора физического диска, обычно 512 байт). Как и dd в Unix, -BlockSize представляет количество байтов для чтения за один раз, в то время как -Count представляет количество блоков BlockSize для чтения. По умолчанию -Offset имеет значение 0 (начало файла), а -BlockSize имеет значение 512 (наименьшее количество байтов, которое может быть прочитано одновременно).
Cчитаем 512 байт с начала физического диска (\\. \F и передаем вывод в Format-Hex

Код:



Invoke-ForensicDD -InFile \\.\F: -Count 1 | Format-Hex


https://forum.antichat.xyz/attachments/4845040/img_15435600f6.png

PowerForensics HELP

Guidance EnCase и Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали.

"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.

Igor_Mich сказал(а):

"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.


Не, чисто как дополнение, а с винта дамп снять проще FTK Imager или взять дистр типа DEFT или CAINE, для форензики само то.

wizard76 сказал(а):

Не, чисто как дополнение, а с винта дамп снять проще FTK Imager или взять дистр типа DEFT или CAINE, для форензики само то.



С использованием hardware блокиратора?

euteracot сказал(а):

С использованием hardware блокиратора?


Да но есть и софтовые решения, в примере показан перемонтированный образ

LWF сказал(а):

уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)
почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?


Это делается для подключения к блокиратору или устройству дублирования - эти устройства с запретом возможности изменения информации, но есть моменты когда загружаются на устройстве с дистрибутивов которые запрещают запис
вот пример WinPE Forensics (https://forum.antichat.xyz/threads/566954/)

GTYU сказал(а):

уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?


Загружаются с внешнего носителя со встроенной блокировкой записи (SUMURI Paladin, CAINE, DEFT, WinFE, SAFE Block To Go) и делают образ ним.

GTYU сказал(а):

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?


1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.
2. тогда включают ноут

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)

belforensic сказал(а):

1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.
2. тогда включают ноут

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)


Всё обновляется, все что перечислено не претерпело изменений