【FTK Imager篇】FTK Imager制作镜像详细教程
2023-12-13 08:0:33 Author: 网络安全与取证研究(查看原文) 阅读量:23 收藏

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【蘇小沐】

0

目录

 

1、选择源证据类型

2、选择需要做的磁盘

3、选择镜像类型

4、填写案件信息(可选)

5、设置镜像参数!

6、加密设置(可选)

7、镜像验证设置(可选)

8、镜像制作完成

9、证据信息记录

10、记录文本

11、文本翻译

总结。

0、目录

1、选择源证据类型

2、选择需要做的磁盘

3、选择镜像类型

4、填写案件信息(可选)

5、设置镜像参数!

6、加密设置(可选)

7、镜像验证设置(可选)

8、镜像制作完成

9、证据信息记录

10、记录文本

11、文本翻译

总结

0、目录

1、选择源证据类型

2、选择需要做的磁盘

3、选择镜像类型

4、填写案件信息(可选)

5、设置镜像参数!

6、加密设置(可选)

7、镜像验证设置(可选)

8、镜像制作完成

9、证据信息记录

10、记录文本

11、文本翻译

总结

1

选择源证据类型

路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)
参数设置
1)物理驱动器

整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;

2)逻辑驱动器(L)

分区,如:一块硬盘分C盘、D盘等;

3)映像文件(I)

镜像文件,如:DD、E01等镜像文件;

4)文件夹内容(F)

文件夹,就是可对文件夹做出镜像;

5)Fernico设备(多个CD/DVD)(D)

对光盘做镜像;

2

选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

3

选择镜像类型

 考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

4

填写案件信息(可选)

 案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

5

设置镜像参数!

镜像参数设置
镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

FTK Imager默认镜像分卷大小为1500MB;

RAW镜像、E01和AFF填:0=不分卷;】

 默认分卷

不分卷

6

加密设置(可选)

 对镜像进行加密,密码自行设置。

7

镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

 

8

镜像制作完成

9

证据信息记录

 【目录列表】显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

10

记录文本

 

11

文本翻译

镜像文本翻译

Created By AccessData® FTK® Imager 4.5.0.3 

Case Information: //案件信息: 

Acquired using: ADI4.5.0.3 //采集方式: 

Case Number: NDASH //案件编号: 

Evidence Number: NDASH //证据编号:

Unique Description: NDASH //唯一描述: 

Examiner: suy //检查员:

Notes: NDASH--------------------------------------- //备注:

Information for E:\NDASH\NDASH: //镜像保存位置

Physical Evidentiary Item (Source) Information: //物理证据项目(源)信息:

[Device Info] //[设备信息]

Source Type: Physical //源类型:物理驱动器

[Drive Geometry] //[驱动器几何参数]

Cylinders: 3,740  //柱面数: 

Tracks per Cylinder: 255    //每柱面磁道数: 

Sectors per Track: 63 //每磁道扇区数: 

Bytes per Sector: 512  //每扇区字节数: 

Sector Count: 60,088,320 //扇区数:

[Physical Drive Information] //[物理驱动器信息]

 Drive Model: SanDisk Cruzer Blade USB Device //驱动器型号: 

 Drive Serial Number:4C530000050507222113 //设备驱动器序列号: 

 Drive Interface Type: USB  //驱动器接口类型:

 Removable drive: 正确 //可移动驱动器:

 Source data size: 29340 MB //源数据大小:

 Sector count: 60088320      //扇区数:

[Computed Hashes]          //[计算散列值]

 MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20       //MD5校验和

 SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c  //SHA1校验和

Image Information: //镜像信息

 Acquisition started:   Thu Nov 26 17:24:03 2020 //制作开始时间

 Acquisition finished:  Thu Nov 26 17:44:22 2020 //制作完成时间

 Segment list: //分卷列表

 E:\NDASH\NDASH.001

 E:\NDASH\NDASH.002

 E:\NDASH\NDASH.003

 E:\NDASH\NDASH.004

 E:\NDASH\NDASH.005

 E:\NDASH\NDASH.006

 E:\NDASH\NDASH.007

 E:\NDASH\NDASH.008

 E:\NDASH\NDASH.009

 E:\NDASH\NDASH.010

 E:\NDASH\NDASH.011

 E:\NDASH\NDASH.012

 E:\NDASH\NDASH.013

 E:\NDASH\NDASH.014

 E:\NDASH\NDASH.015

 E:\NDASH\NDASH.016

 E:\NDASH\NDASH.017

 E:\NDASH\NDASH.018

 E:\NDASH\NDASH.019

 E:\NDASH\NDASH.020

Image Verification Results: //镜像验证结果

 Verification started: Thu Nov 26 17:44:24 2020 //验证开始时间

 Verification finished: Thu Nov 26 17:46:10 2020 //验证完成时间

 MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校验和

 SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified //SHA1校验和

总结
主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集,如链接失效请留言,便于更新维护。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】
记录
开始编辑:2020 年 11月 26日
最后编辑:2020 年 11月 29日

END

往期精彩回顾

▼ 【电子取证篇】WinHex入门教程合集,看这一篇就够了

▼ 【电子取证篇】分享一波电子数据取证工具

▼ 【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程


【蘇小沐】

关注我,了解更多取证知识,别忘+看哦!


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247488334&idx=1&sn=f28ae09806fa6d901ceeed4841de92a6&chksm=ceb9a4b76a2955be61a9a22dcd821de4b64fb453751bcb884e56a5397077d232bcf2b0204bf6&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh