التحقيق الجنائي الرقمي (EDD.exe)
في المقالة السابقة تحدثنا عن إستخلاص الذاكرة العشوائيــة (Memory Dump) بإستخدام أداة DumpIT واليوم نتحدث عن معاينة الأقراص الصلبة للجهاز للتشفير. من الأخطاء الشائعة عند استحواذ او جمع الأدلة هي عدم معاينة التشفير للقرص, حيث هذه الخطوة تضمن سلامة الأدلة في حال تم تشفير البيانات نحتاج الى ان نستخرج من الجهاز كلمة السر لفك التشفير عند تحليل الادلة. و لعمل ذلك نستخدم برنامج (edd.exe) يمكنكم تحميله من الرابط. https://www.magnetforensics.com/resources/encrypted-disk-detector / و هي برنامج او اداة سطر أوامر مخصصة للاستخدام على نظام مباشر يتحقق من تشفير القرص الكامل أو وحدات التخزين المشفرة المثبتة , و تفيدنا هذه الأداة عند إجراء تحليل جنائي للاستجابة المباشرة لاكتشاف وجود التشفير قبل اطفاء الجهاز. من مميزات هذه الاداة انها لا تقوم بإجراء أي تغييرات على محركات الأقراص أو الملفات الموجودة على النظام المباشر ، حيث يتم إكمال جميع عملياته في وضع القراءة فقط . كما هو موضح بالصورة التالية تم تشفير القرص الصلب باستخدام TrueCrypt EDD.exe /accepteula