Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты


Запуск программы (пошаговый)

Код:




установка

Код:




Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем

Код:




У нас в системе подключен (AccessData FTK Imager против Arsenal Image Mounter) криминалистический образ который был зашифрован BitLocker (Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker) в текущей системе интересующий раздел подключен буквой "F"

Invoke-ForensicDD имеет параметр -InFile, который следует использовать для указания на физический диск (\\. \PHYSICALDRIVE0) или логический том (\\. \ F . Необязательный параметр -OutFile направляет вывод в файл вместо потока вывода PowerShell. Параметры -Offset, -BlockSize и -Count предоставляют инструкции относительно того, какие данные возвращать (-Offset и -BlockSize должны делиться на размер сектора физического диска, обычно 512 байт). Как и dd в Unix, -BlockSize представляет количество байтов для чтения за один раз, в то время как -Count представляет количество блоков BlockSize для чтения. По умолчанию -Offset имеет значение 0 (начало файла), а -BlockSize имеет значение 512 (наименьшее количество байтов, которое может быть прочитано одновременно).
Cчитаем 512 байт с начала физического диска (\\. \F и передаем вывод в Format-Hex

Код:




PowerForensics HELP