Извлечение информации из образов Acronis
В рамка одного из computer forensic проектов одной из задач было извлечение определенной информации (копии документов, электронная переписка, изображения, файлы баз данных и др.) из файлов-образов Acronis. Данные файлы имеют расширение tib. Формат таких файлов является закрытым, то есть используется компанией Acronis только в своих программных продуктах. В данном описываемом случае образ был получен с некоего банковского сервера, работающего под управлением операционной системы Red Hat Linux.
Итак, что было сделано для достижения поставленной цели:
1. образ tib конвертирован в образ vmdk с помощью «VMware vCenter Converter Standalone client» версии 5.5.3;
2. c помощью «Oracle VM VirtualBox» версии 5.1.22 r115126 (Qt5.6.2) создана виртуальная машина с операционной системой «Linux Ubuntu» версии 16.04.3;
3. полученный ранее образ vmdk подключен к виртуальной машине как отдельный жесткий диск;
4. с помощью программы «dd» версии 8.25 создан образ подключённого к виртуальной машине vmdk-диска и сохранен на отдельный носитель информации;
5. полученный dd-образ был загружен в специализированный экспертный программный комплекс FTK версии 6.2;
6. с использованием уникальных фильтров были обнаружены и экспортированы необходимые файлы.
https://www.linkedin.com/in/oleg-bezik- ... -activity/