以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【蘇小沐】
0
目录
1、选择源证据类型
2、选择需要做的磁盘
3、选择镜像类型
4、填写案件信息(可选)
5、设置镜像参数!
6、加密设置(可选)
7、镜像验证设置(可选)
8、镜像制作完成
9、证据信息记录
10、记录文本
11、文本翻译
总结。
0、目录
1、选择源证据类型
2、选择需要做的磁盘
3、选择镜像类型
4、填写案件信息(可选)
5、设置镜像参数!
6、加密设置(可选)
7、镜像验证设置(可选)
8、镜像制作完成
9、证据信息记录
10、记录文本
11、文本翻译
总结
0、目录
1、选择源证据类型
2、选择需要做的磁盘
3、选择镜像类型
4、填写案件信息(可选)
5、设置镜像参数!
6、加密设置(可选)
7、镜像验证设置(可选)
8、镜像制作完成
9、证据信息记录
10、记录文本
11、文本翻译
总结
1
选择源证据类型
整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
分区,如:一块硬盘分C盘、D盘等;
镜像文件,如:DD、E01等镜像文件;
文件夹,就是可对文件夹做出镜像;
对光盘做镜像;
2
选择需要做的磁盘
3
选择镜像类型
DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。
4
填写案件信息(可选)
案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);
5
设置镜像参数!
选择镜像存储位置、自定义镜像名;
这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!
【FTK Imager默认镜像分卷大小为1500MB;
RAW镜像、E01和AFF填:0=不分卷;】
默认分卷
不分卷
6
加密设置(可选)
对镜像进行加密,密码自行设置。
7
镜像验证设置(可选)
勾选”创建后验证映像(V)“,校验比对镜像的哈希值;
勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;
勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;
8
镜像制作完成
9
证据信息记录
【目录列表】显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。
10
记录文本
11
文本翻译
Created By AccessData® FTK® Imager 4.5.0.3
Case Information: //案件信息:
Acquired using: ADI4.5.0.3 //采集方式:
Case Number: NDASH //案件编号:
Evidence Number: NDASH //证据编号:
Unique Description: NDASH //唯一描述:
Examiner: suy //检查员:
Notes: NDASH--------------------------------------- //备注:
Information for E:NDASHNDASH: //镜像保存位置
Physical Evidentiary Item (Source) Information: //物理证据项目(源)信息:
[Device Info] //[设备信息]
Source Type: Physical //源类型:物理驱动器
[Drive Geometry] //[驱动器几何参数]
Cylinders: 3,740 //柱面数:
Tracks per Cylinder: 255 //每柱面磁道数:
Sectors per Track: 63 //每磁道扇区数:
Bytes per Sector: 512 //每扇区字节数:
Sector Count: 60,088,320 //扇区数:
[Physical Drive Information] //[物理驱动器信息]
Drive Model: SanDisk Cruzer Blade USB Device //驱动器型号:
Drive Serial Number:4C530000050507222113 //设备驱动器序列号:
Drive Interface Type: USB //驱动器接口类型:
Removable drive: 正确 //可移动驱动器:
Source data size: 29340 MB //源数据大小:
Sector count: 60088320 //扇区数:
[Computed Hashes] //[计算散列值]
MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20 //MD5校验和
SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c //SHA1校验和
Image Information: //镜像信息
Acquisition started: Thu Nov 26 17:24:03 2020 //制作开始时间
Acquisition finished: Thu Nov 26 17:44:22 2020 //制作完成时间
Segment list: //分卷列表
E:NDASHNDASH.001
E:NDASHNDASH.002
E:NDASHNDASH.003
E:NDASHNDASH.004
E:NDASHNDASH.005
E:NDASHNDASH.006
E:NDASHNDASH.007
E:NDASHNDASH.008
E:NDASHNDASH.009
E:NDASHNDASH.010
E:NDASHNDASH.011
E:NDASHNDASH.012
E:NDASHNDASH.013
E:NDASHNDASH.014
E:NDASHNDASH.015
E:NDASHNDASH.016
E:NDASHNDASH.017
E:NDASHNDASH.018
E:NDASHNDASH.019
E:NDASHNDASH.020
Image Verification Results: //镜像验证结果
Verification started: Thu Nov 26 17:44:24 2020 //验证开始时间
Verification finished: Thu Nov 26 17:46:10 2020 //验证完成时间
MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校验和
SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified//SHA1校验和
|
|
|
|
|
|
END
往期精彩回顾
▼ 【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程
【蘇小沐】
关注我,了解更多取证知识,别忘了点赞+在看哦!
原文始发于微信公众号(网络安全与取证研究):【FTK Imager篇】FTK Imager制作镜像详细教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论