FTK Imager maakt voor het bekijken van bestanden gebruik van de engine van Internet Explorer (deze engine is standaard aanwezig in XP en Vista). Dankzij deze engine kun je gebruik maken van Quick View Plus, waarmee je het mogelijk maakt om met FTK Imager meer dan 300 verschillende bestandsformaten (waaronder Microsoft Office 2007 bestanden) te bekijken.
FTK Imager blijft me verrassen met diens mogelijkheden. Ik heb me de laatste tijd een beetje verdiept in regular expressions (wellicht beter bekend als GREP), en FTK Imager blijkt daar zeer goed mee om te kunnen gaan. Véél beter dan bijvoorbeeld Encase.
FTK Imager is klein genoeg om te functioneren vanaf USB stick. Toch is het programma uitgebreid genoeg om snel, forensisch interessante data te vinden. Als je goed met FTK Imager om kunt gaan kun je een hoop andere tools links laten liggen. Ik heb een beknopte handleiding gemaakt met betrekking tot de volgende basisonderwerpen van Windows:
Als je met FTK Imager een NTFS partitie aan het bekijken bent, dan is het mogelijk om snel te zien aan welke gebruiker een bestand toebehoort. Dit kan handig zijn om te zien welke gebruiker (naar alle waarschijnlijkheid) een bestand heeft gemaakt, gedownloadt of verspreid.
Lees meer "De eigenaar van een bestand vinden met FTK Imager" »
Naar aanleiding van het artikel over directory entries in FAT bestandssystemen kwam de vraag of zoiets ook bestond in NTFS bestandssystemen. Uiteraard, maar dan zit het net even anders in elkaar.
Ik heb gemerkt dat er onduidelijkheid is over INFO2 bestanden en wat er gebeurt als de Windows prullenbak wordt geleegd. Een INFO2 bestand wordt door Windows XP en eerdere versies gemaakt zodra een bestand wordt verplaatst naar de prullenbak. Het bestand wordt door Windows gebruikt om een gewist bestand naar wens weer te kunnen terugplaatsen in de originele map. Windows Vista maakt geen INFO2 bestanden. Een uitleg over INFO2 bestanden vind je hier.
In het boek van Harlan Carvey las ik informatie over informatie die in de prefetch map van Windows XP en Vista aanwezig is. In het kort komt het erop neer dat het besturingssysteem gebruik maakt van een cache manager, waarmee informatie wordt opgeslagen. Door deze informatie in het cache geheugen start de computer de eerstvolgende keer sneller op. XP en Vista maken naast dit zogenoemde boot prefetching ook standaard gebruik van application prefetching. Laat dit nou net forensisch van waarde kunnen zijn ...
Ik liep vandaag tegen een mooie tool aan: RegistryReport. Deze gratis tool stelt een wel zeer uitgebreide rapportage samen over het Windows register van een PC.
Vandaag heb ik een uitleg geschreven over de eerste sectoren van het FAT bestandssysteem. In deze eerste sectoren liggen onder meer de Master Boot Record en de partitietabel verborgen. De uitleg is, met behulp van FTK Imager, voorzien van hexadecimale praktijkvoorbeelden.
download (17,5 MB):
zie ook: FAT32 op bitniveau
Door alle berichtgeving rond Microsoft's nieuwe telg Vista (waarvan het besturingssysteem uiteraard NTFS is) zou je bijna denken dat het 'andere besturingssysteem' FAT niet meer populair is. Niets is minder waar. FAT wordt nog steeds veel gebruikt, onder meer voor USB sticks.
