FTK Imager: novità dell’aggiornamento in download gratuito

È recente la pubblicazione della nuova versione del tool della società Exterro “FTK Imager”, il “coltellino svizzero” dell’informatica forense che ogni consulente informatico forense ha nel proprio repertorio e utilizza quasi quotidianamente per fare copie forensi, aprire e lavorare su immagini forensi, acquisire la RAM dei PC, estrarre file di sistema, virtualizzare o fare analisi forensi su SSD, HD e supporti di memoria.

Il download della nuova versione è disponibile al link del sito di Exterro https://www.exterro.com/ftk-product-downloads/ftk-imager-4-7-3-61 e introduce funzionalità attese e interessanti. Ricordiamo che il download di FTK Imager e gratuito e può essere effettuato allo stesso link presente nella sezione “Product Downloads”:

download-FTK-Imager

Le novità dell’aggiornamento

Il changelog fornito dalla società è piuttosto scarno ed indica come unica novità il miglioramento nel processo di “mounting” delle immagini di Windows 11. Il resto dei cambiamenti interni riguarderebbe la risoluzione di bug:

Changelog-aggiornamento-FTK-Imager

Installando e avviando lo strumento si possono apprezzare novità molto più interessanti; infatti, è ora possibile montare e navigare immagini forensi di drive che sono crittografati con BitLocker e si possono, con questo aggiornamento, creare ed esportare copie forensi di dischi cifrati in formato non cifrato.

Tale mancanza, in questi anni, è stata sopperita dall’utilizzo di strumenti esterni, come Arsenal Image Mounter, strumento in grado di montare immagini forensi di dischi cifrati con BitLocker, riconoscere la presenza di “clear key”, generare immagini decifrate, etc.

Riconoscimento, mounting e acquisizione di volumi crittografati

Vediamo ora come si concretizzano le novità più importanti, avviando direttamente lo strumento.

Adesso, selezionando “Add evidence Item” o “Create disk Image” e indicando un volume fisico cifrato con BitLocker, abbiamo accesso ad una nuova schermata, che propone l’inserimento della chiave a 48 bit o della password (nel caso di drive esterni):

creazione-immagine-forense-disco-cifrato

Cliccando poi su “OK” si ha accesso al volume fisico come se fosse decifrato.

Come accennato, attraverso questa nuova funzionalità è possibile produrre copia forense del disco crittografato, direttamente in forma decifrata. In questo caso lo strumento avvisa l’utente del fatto che il valore di hash della copia forense del drive in forma decifrata differirà dal valore di hash che si otterrebbe acquisendolo nella sua forma crittografata:

conferma-creazione-immagine-cifrata

Premendo su “Cancel” anziché su “OK” si procederebbe con l’acquisizione forense del disco nella sua forma cifrata:

creazione-immagine-forense-disco-cifrato-cancel
creazione-immagine-forense-disco-cifrato-sì

In questo caso sarà comunque possibile montare, sempre con FTK Imager, la copia così ottenuta e creare a posteriori la relativa immagine decifrata. Un’ulteriore possibilità sarà montare il drive decifrato sia fisicamente che logicamente, per mezzo dell’opzione “Image Mounting…”:

mounting-immagine-cifrata

La versione “portable” standalone

FTK Imager viene distribuito come versione installabile, ma può agevolemente essere convertito in versione portabile o standalone avviando l’installer e copiando su di una pendrive la cartella dove il programma viene installato.

Versione-portable-FTK-Imager

Le librerie DLL necessarie per la sua esecuzione saranno contenute all’interno della cartella “C:\Program Files\AccessData” e sono sufficienti per far girare il tool FTK Imager in modalità portable anche su altri PC senza installarlo, ma avviandolo direttamente da una pendrive o da una risorsa di rete. A questo punto, si otterrà una versione FTK Imager Portable, da utilizzare sul campo, così da evitare di sporcare il sistema con una nuova installazione.

Conclusioni

La nuova funzionalità di mounting di drive e immagini forensi di dischi cifrati con BitLocker nonché la possibilità di creare immagini di drive in formato già decifrato, accontenta i molti utenti che quotidianamente utilizzano FTK Imager per le attività di acquisizione e analisi forense ed altre attività a supporto della perizia informatica. In passato, queste lacune potevano essere colmate mediante l’ausilio di altri strumenti gratuiti, ed ora anche FTK Imager può vantare nel suo già ricco armamentario queste funzionalità, senz’altro molto utili per qualunque Digital Forensics Expert.


Per informazioni o preventivi contattate lo Studio Forenser Srl tramite la Pagina Contatti o compilando il modulo seguente.

    Nome o Ragione Sociale *

    Email *

    Telefono

    Messaggio *

    Ho letto l'informativa sul trattamento dati *
    Do il mio consenso al trattamento dati *