Инструментов для снятия образов дисков существует множество. Зачем нужен ещё один? Мы изучили все популярные и несколько экзотических утилит — и не нашли ни одной идеальной. В результате мы решили разработать собственную — с учётом опыта и на основе длительных исследований различных носителей, аппаратных конфигураций и даже кабелей. Встречайте Elcomsoft Disk Imager — бесплатный инструмент для снятия образов дисков, разработанный с учётом нужд специалистов в области цифровой криминалистики.

Elcomsoft Disk Imager

Elcomsoft Disk Imager — бесплатный инструмент для снятия образов дисков, работающий из командной строки и разработанный для нужд цифровой криминалистики. Казалось бы, ещё одна утилита, да ещё и работающая из командной строки? Однако не всё так просто, и в работе специалиста есть целый ряд особенностей, делающих большинство существующих бесплатных утилит малопригодными в реальных условиях (о стоимости и доступности коммерческих инструментов мы, пожалуй, промолчим).

Скачать Elcomsoft Disk Imager можно со страницы бесплатных продуктов Elcomsoft, на которой опубликованы все бесплатные инструменты нашей разработки.

Итак, чем отличается Elcomsoft Disk Imager от аналогов? От любых коммерческих — бесплатностью и свободной лицензией: утилиту можно свободно скачать и использовать в лаборатории как в сфере криминалистики, так и в коммерческих организациях. От бесплатных — учётом специфики области: здесь и подсчёт одного или нескольких типов контрольных сумм на лету, в том числе — для прерванных сессий и промежуточных результатов; и встроенный функционал для продолжения прерванной сессии (без потери уже подсчитанных контрольных сумм); и выбор формата — стандартного IMG или специфического для нужд криминалистов E01, для которого, в свою очередь, поддерживается три уровня сжатия; и, разумеется, сохранение контрольных сумм образа в отдельном файле. Но и это ещё не всё: за почти полтора года исследований разнообразных аппаратных конфигураций, накопителей, адаптеров и протоколов мы создали алгоритм с высочайшей степенью оптимизации, позволяющий достичь потолка производительности для каждой заданной конфигурации. Наконец, наш продукт максимально компактный, не требует установки и не имеет внешних зависимостей; его можно запускать как с настольного компьютера, так и с ноутбука.

А что с блокировкой записи? Разумеется, Elcomsoft Disk Imager получает доступ к исходному накопителю в режиме «только для чтения», но в условиях криминалистической лаборатории этого недостаточно; мы обеспечили беспроблемную работу через аппаратные блокираторы записи. Мы протестировали Elcomsoft Disk Imager с блокираторами записи как нашей собственной разработки (NVMe, SATA), так и с распространёнными сторонними решениями.

Подсчёт контрольных сумм

Elcomsoft Disk Imager автоматически подсчитывает контрольные суммы на лету — поблочно во время создания образа, а не для всего файла после окончания работы. Поддерживаются варианты MD5 и SHA1; можно использовать как любой из них, так и оба сразу (или ни одного). По умолчанию сохраняются обе контрольные суммы. Контрольные суммы важны для корректного документирования и обеспечения целостности цифровых доказательств на всех стадиях делопроизводства.

Отметим, что подсчёт контрольных сумм, несмотря на то, что он происходит «на лету» и хорошо оптимизирован, всё же немного замедляет процесс — особенно на слабых процессорах. Впрочем, за исключением устаревших CPU, речь идёт о единицах процентов.

Максимум скорости

Сделать утилиту для снятия образов из готовых библиотек — дело нехитрое; проблемы же возникают… впрочем, легче сказать, когда проблем не возникает: в идеальных условиях. При любых отклонениях, использовании блокираторов записи, внешних накопителей, USB-портов и кабелей возникают «бутылочные горлышки», из-за которых скорость заметно проседает. Важна любая мелочь: скорость оригинального накопителя, блокиратора записи и того, как, куда, чем и через что он подключён к компьютеру; скорость записи (причём — устойчивая, за преледами pSLC-кэша!) целевого накопителя — и способ его подключения к компьютеру; порты, питание, хабы, даже кабели — влияние оказывает буквально всё. Универсальная рекомендация — «быть здоровым и богатым», то есть — использовать быстрые накопители большого объёма (как правило — вдвое больше исходного диска), подключать напрямую через быстрые порты USB-C, использовать быстрые современные компьютеры… В жизни все эти условия выполняются редко — и наш продукт учитывает реалии. Рекомендуем ознакомиться с нашими исследованиями на эту тему:

• Как добиться максимальной скорости при снятии образов дисков
• Когда скорость имеет значение
• Снятие образа диска: тестируем скорости копирования NVMe
• Снятие образов носителей: некоторые особенности
• Образы дисков: как порты, хабы и питание влияют на скорость
• Не все USB кабели одинаково полезны
• Энергопотребление накопителей — и почему это важно для лаборатории

Куда записывать и на чём впоследствии хранить образы дисков?

• Оборудование лаборатории: на чём хранить данные?
• Лаборатория Элкомсофт: требования к целевым NVME-накопителям
• Цифровые носители в криминалистике: типы устройств и риски извлечения

На чём не нужно хранить данные (и вообще лучше не пользоваться для записи образов):

• Лаборатория Элкомсофт: не все SSD одинаково полезны
• Лаборатория Элкомсофт: и ещё о дешёвых SSD

Как использовать

Ниже — краткая инструкция по использованию Elcomsoft Disk Imager.

1. Запустите утилиту командной строки cmd.exe — обязательно с правами администратора.
2. Выполните команду edi-cli -l — она выведет пронумерованный список всех доступных физических и логических накопителей.
3. Выполните команду edi-cli -i <disk_number> [options] — она запустит процесс снятия образа. <disk_number> — номер физического устройства или логического раздела, образ которого будет сниматься.

Пример работы программы:

edi-cli.exe -l

Elcomsoft Disk Imager (EDI). Console version.

[-- Device list:
:::> [ 0 ] \\.\PhysicalDrive0 (1863GB)
:::> [ 1 ] \\.\PhysicalDrive0 : Partition 1 (15MB)
:::> [ 2 ] \\.\PhysicalDrive0 : Partition 2 : D: (1863GB)
:::> [ 3 ] \\.\PhysicalDrive1 (1863GB)
:::> [ 4 ] \\.\PhysicalDrive1 : Partition 1 (128MB)
:::> [ 5 ] \\.\PhysicalDrive1 : Partition 2 : E: (1862GB)
:::> [ 6 ] \\.\PhysicalDrive2 (1863GB)
:::> [ 7 ] \\.\PhysicalDrive2 : Partition 1 (15MB)
:::> [ 8 ] \\.\PhysicalDrive2 : Partition 2 : P: (1863GB)
:::> [ 9 ] \\.\PhysicalDrive3 (1863GB)
:::> [ 10 ] \\.\PhysicalDrive3 : Partition 1 (128MB)
:::> [ 11 ] \\.\PhysicalDrive3 : Partition 2 : F: (1862GB)
[--------------------------------------------------------------------]

Чтобы снять образ физического устройства №3 (физический накопитель PhysicalDrive1) в формате E01, быстрым сжатием и всеми типами контрольных сумм, выполните такую команду:

edi-cli.exe -i 3 -o w:\images -f disk3

Эта команда сохранит образ раздела [ 3 ] \\.\PhysicalDrive1 (1863GB) в папку w:\images в файл с именем disk3. При этом будут подсчитываться обе контрольные суммы (MD5 и SHA1), а сам файл будет создан в формате E01 с компрессией fast.

Типы сжатия

Тип сжатия для формата E01 указывается ключом -c или —compress. Значение по умолчанию — fast (быстрый алгоритм); если ключ не указан, используется именно он. Алгоритм «best» может замедлить работу, особенно на слабых процессорах; выигрыш в размере файла — единицы процентов. Сжатие работает только в формате E01; для «сырых» образов сжатие не поддерживается.

Чем монтировать

Для монтирования можно использовать любой коммерческий или бесплатный инструмент, поддерживающий форматы RAW или E01 — например, Magnet AXIOM. Из бесплатных рекомендуем OSFMount или FTK Imager (в бесплатной редакции). К слову, мы по-прежнему считаем OSForensics одним из лучших продуктов для снятия образов дисков; мы постарались сделать не хуже.

Работа с прерванными сессиями

Elcomsoft Disk Imager поддерживает автоматическое восстановление прерванных сессий. Более того, даже для прерванных сессий и частичных образов подсчитываются корректные хэш-суммы; в результате конечная контрольная сумма для полного образа будет совпадать независимо от того, был ли образ создан в один проход или несколько. С технической точки зрения корректно обрабатывать прерывание сессии позволяет определить файл с расширением .session, который создаётся в процессе работы в той же папке, что и основной образ. Именно по нему при повторном запуске определяется, можно ли продолжить работу.

Что может привести к обрыву сессии? Причин множество: от аппаратных (перегрев, проблемы с портами и кабелями, потеря питания) до программных (ноутбук «заснул» в процессе работы или у него закрыли крышку). Впрочем, мы предприняли меры, предотвращающие случайное «засыпание» компьютера во время снятия образа — в том числе и при закрытии крышки ноутбука.

Ручное прерывание сессии

Процесс можно прервать вручную комбинацией клавиш Ctrl+C. Чтобы продолжить с того же места, просто выполните в точности ту же команду, с которой начали — включая полное имя файла.

Краткая справка

Ниже приводится полный список команд и ключей Elcomsoft Disk Imager с кратким описанием:

edi-cli.exe <commands> [options]

Команды:
-h, --help справка по командам
-v, --version выводит номер версии

Основные:
-i, --input-index <source index> номер источника (см. команду -l)
-o, --output <folder> папка, в которую будет сохраняться образ
-l, --list выводит пронумерованный список всех доступных источников - как физических накопителей, так и разделов (см. команду -i)

OPTIONS:
-f, --file <file name> имя файла для образа (без расширения)
-m, --mode <raw|e01> выходной формат (raw или e01)
-c, --compress <none|fast|best> режим сжатия (для e01)
-s, --signature <none|md5|sha1|all> указывает, какие контрольные суммы генерировать

Планы на будущее

В планы на будущее входит как дальнейшее развитие инструмента командной строки с дополнительными опциями, так и графический интерфейс. Расширенная версия инструмента станет коммерческой, но и бесплатный вариант будет продолжать развиваться. В ближайших планах:

• Полноценный графический интерфейс (GUI)
• Создание образов и в других форматах, как минимум .vhdx и AFF4 (у обоих есть свои существенные преимущества)
• Разбивка E01 на части заданного размера
• Улучшенная работа с повреждёнными носителями
• Расширенные опции журналирования (будет включён и отчёт о плохих секторах)
• Дальнейшие оптимизации по скорости
• Работа с зашифрованными дисками
• Версия для Linux