【Linux取证篇】Linux版本FTK Imager下载与镜像方法

2024年8月10日12:06:19评论274 views字数 2706阅读9分1秒阅读模式

2020年12月Exterro宣布已收购行业领先的数字取证调查技术提供商AccessData。Exterro的此次收购，完善了在电子取证、内部调查、事件和违规响应以及隐私方面的取证收集、处理和分析能力补充。

嗯，我想说的是，因为Exterro的收购，原本的AccessData.com官网被替换成了Exterro.com，导致很多资源目录不仅变了，甚至一些资源都被取消了，网上能找到的资源也基本都是AccessData被收购前的下载地址，不出所料已经全部失效。下面就来啰嗦几句，在Linux下怎么下载安装FTK Imager来对服务器进行镜像制作---【蘇小沐】

实验环境

FTK Imager CLI，[v3.1.1]

Kali Linux，[v2023.4]

（一）

下载安装Linux版本FTK Imager

登录root账户

切换 root 用户登录，以避免后面制作镜像权限不足。

root命令：sudo su 。

输入当前账户密码：（密码不回显）

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

Linux版本FTK Imager安装命令

FTK Imager，CLI（命令行界面）版本的链接

安装命令：wget https://web.archive.org/web/20160909140256if_/https://ad-zip.s3.amazonaws.com/ftkimager.3.1.1_ubuntu64.tar.gz

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

解压命令

提取压缩文件的内容。

使用语法：tar -zxvf [compressed_file] 提取压缩文件的内容。

解压命令：tar -zxvf ftkimager.3.1.1_ubuntu64.tar.gz

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

（二）

FTK Imager，CLI参数说明

运行 FTK Imager 对磁盘进行镜像操作。

语法如下：./ftkimager [source] [destination] [options] 。

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Usage:  ftkimager source [dest_file] [options]
source can specify a block device, a supported image file, or `-' for stdin
if dest_file is specified, proper extension for image type will be appended
if dest_file is `-' or not specified, raw data will be written to stdout
Options:
  --help        : display this information
  --list-drives : show detected physical drives
  --verify      : hash/verify the destination image,
                  or the source image if no destination is specified
  --print-info  : print information about a drive or image and then exit
  --quiet       : do not show create/verify progress information
  --no-sha1     : do not compute SHA1 hash during acquire or verify
(The following options are valid only when dest_file is specified):
  --s01         : create a SMART ew-compressed image
  --e01         : create an E01 format image
  --frag x{K|M|G|T} : create image fragments at most x {K|M|G|T} in size
                  also accepts kB, MB, GB, and TB for powers of 10 instead of 2
  --compress C  : set compression level to C (0=none, 1=fast, ..., 9=best)
  e01/smart metadata (use quote marks when X contains spaces):
    --case-number X
    --evidence-number X
    --description X
    --examiner X
    --notes X
AD Encryption Options:
  --inpass P      : decrypt source file using password P
  --incert C [P]  : decrypt source file using certificate C with password P
  --outpass P     : encrypt dest file using password P
  --outcert C [P] : encrypt dest file using certificate C with password P

主要参数说明：

参数	说明
/dev/sdb	获取镜像的磁盘
--e01	Encase 图像文件格式
--compress 6	磁盘镜像的压缩级别：0~9，默认6。

（三）

FTK Imager CLI制作E01镜像实操

查询磁盘信息

命令：fdisk -l

fdisk -l显示硬盘的所有信息。

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

Linux制作E01镜像命令

在Windows版本中，FTK Imager压缩率默认参数是6。在Linux系统中，考虑到时间和空间因素，为了能最快固定好服务器镜像，建议压缩率给到最大设置参数9。

制作镜像命令：./ftkimager /dev/sda /2024SXM --e01 --compress 9 --verify

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

镜像哈希校验

当获取镜像的过程完成后，FTK 会在存储镜像文件的目录下创建一个包含镜像摘要信息的.txt文件。

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

总结

本次只是简单总结了下Linxu版本的FTK Imager下载安装及制作镜像方法。

书写片面，纯粹做个记录，有错漏之处欢迎指正。

公众号回复关键词【FTK】自动获取资源合集。

【声明：欢迎转发收藏，个人创作不易，喜欢记得点点赞！！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】

【注：共享资源收集于官网或互联网公开材料，仅供学习研究，如有侵权请联系删除，谢谢！】

记录

开始编辑：2024年 08月 07日‍

最后编辑：2024年 08月 10日

END

原文始发于微信公众号（DFIR蘇小沐）：【Linux取证篇】Linux版本FTK Imager下载与镜像方法

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【Linux取证篇】Linux版本FTK Imager下载与镜像方法

服务器内存取证

318亿涉赌黑产链覆灭记：从色情直播间到话费洗钱的暗网迷局

Ivanti Connect Secure加密磁盘镜像取证与解密技术初探

流量分析 - 明文flag

实时监控加密货币现货市场的三角套利机会

自动化渗透测试攻击：用爱派(AiPy)实现五分钟拿下一个网站

Mac窃密木马源代码分析

穿越 CDN 迷雾，探寻真实 IP 的利器

Linux文件系统与目录结构在电子数据取证中的核心作用

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

发表评论

在线咨询

微信