engrus

7-Zip плагины\Forensic7z

Forensic7z - это плагин для популярного архиватора 7-Zip. Плагин позволяет представить в виде архивов образы дисков, создаваемые специализированным программным обеспечением, используемым при судебной экспертизе, таким как Encase или FTK Imager.

Плагин поддерживает образы дисков в следующих форматах:

  • ASR Expert Witness Compression Format (.S01)
  • Encase Image File Format (.E01, .Ex01)
  • Encase Logical Image File Format (.L01, .Lx01)
  • Advanced Forensics Format (.AFF)
  • AccessData FTK Imager Logical Image (.AD1)

Зашифрованные образы в данное время не поддерживаются.

Установка

Установочный дистрибутив Forensic7z представляет собой простой zip архив, в котором находятся 3 файла:

  • Forensic7z.64.dll – 64 битная версия плагина
  • Forensic7z.32.dll – 32 битная версия плагина
  • ReadMe.txt – краткая инструкция

Для установки плагина в папке, в которую установлена программа 7-Zip, необходимо создать папку Formats. В созданную папку необходимо скопировать либо файл Forensic.64.dll, либо Forensic.32.dll, в зависимости от разрядности программы 7-Zip. После этого 7-Zip при запуске будет автоматически находить плагин и использовать его для открытия образов дисков.

Использование

При открытии многотомного образа диска рекомендуется открывать в 7-Zip первый том образа, в этом случае Forensic7z сможет автоматически найти и корректно обработать все остальные тома образа.

Если открываемый образ диска является образом физического диска, то при открытии его в 7-Zip вы увидите лишь один файл, который представляет собой RAW образ диска без сжатия и дополнительных метаданных:

Открытие Forensic файла в программе 7Zip

Если отображаемый файл является образом диска с файловой системой, поддерживаемой программой 7-Zip (FAT, NTFS, exFAT и ряд других), то прямо в программе 7-Zip можно вы можете открыть этот файл как вложенный архив (эта операция не требует полного извлечения файла) и просматривать и извлекать содержимое диска:

Открытие Forensic файла в программе 7Zip

Если же открываемый образ диска является logical evidence file, то при открытии его в 7-Zip вы увидите список всех файлов, содержащихся в этом образе:

Открытие Forensic файла в программе 7Zip

При выборе команды Properties можно увидеть различную метаинформацию, записанную в образе диска, такую как Evidence number, Case number, Examiner name и т.д.:

Открытие Forensic файла в программе 7Zip

Актуальная версия

  • Версия плагина: 1.5.1
  • Размер установочного дистрибутива: 319 KB
  • Дата установочного дистрибутива: 07 Nov 2019

Дополнительная информация

Также вы можете открывать файлы всех форматов, поддерживаемых Forensic7z, как простые папки прямо в Проводнике с помощью программы TC4Shell:

Открытие E01 файла в Windows Explorer Открытие AD1 файла в Windows Explorer

Подробнее...