【FTK Imager篇】FTK Imager制作镜像详细介绍

FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【suy】

文章目录

  • FTK Imager制作镜像详细介绍
  • 一、磁盘镜像制作步骤
    • (一)选择源证据类型
      • 1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)
    • (二)选择需要做的磁盘
    • (三)选择镜像类型
    • (四)填写案件信息(可选)
    • (五)设置镜像参数!
      • 1、镜像保存位置、镜像名
      • 2、是否分卷!!!
        • 默认分卷
        • 不分卷
      • 3、加密设置(可选)
      • 4、镜像验证设置(可选)
      • 5、镜像制作完成
  • 二、证据信息记录
    • (一)目录列表
    • (二)记录文本
    • 文本翻译
    • 总结

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

1)物理驱动器(P)
	整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
2)逻辑驱动器(L)
	分区,如:一块硬盘分C盘、D盘等;
3)映像文件(I)
	镜像文件,如:DD、E01等镜像文件;
4)文件夹内容(F)
	文件夹,就是可对文件夹做出镜像;
5)Fernico设备(多个CD/DVD)(D)
	对光盘做镜像;

【FTK Imager篇】FTK Imager制作镜像详细介绍_第1张图片

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

【FTK Imager篇】FTK Imager制作镜像详细介绍_第2张图片

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

【FTK Imager篇】FTK Imager制作镜像详细介绍_第3张图片

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

【FTK Imager篇】FTK Imager制作镜像详细介绍_第4张图片

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

FTK Imager默认镜像分卷大小为1500MB;
RAW镜像、E01和AFF填:0=不分卷;

默认分卷

【FTK Imager篇】FTK Imager制作镜像详细介绍_第5张图片

不分卷

【FTK Imager篇】FTK Imager制作镜像详细介绍_第6张图片

3、加密设置(可选)

对镜像进行加密,密码自行设置。

【FTK Imager篇】FTK Imager制作镜像详细介绍_第7张图片

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

【FTK Imager篇】FTK Imager制作镜像详细介绍_第8张图片

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。
【FTK Imager篇】FTK Imager制作镜像详细介绍_第9张图片

5、镜像制作完成

【FTK Imager篇】FTK Imager制作镜像详细介绍_第10张图片

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

【FTK Imager篇】FTK Imager制作镜像详细介绍_第11张图片

【FTK Imager篇】FTK Imager制作镜像详细介绍_第12张图片

(二)记录文本

【FTK Imager篇】FTK Imager制作镜像详细介绍_第13张图片

文本翻译

创建时间 AccessData® FTK® Imager 4.5.0.3 
案件信息: 
采集方式: ADI4.5.0.3
案例编号: NDASH
证据编号: NDASH
唯一性描述: NDASH
检查员: suy
注释: NDASH
---------------------------------------
Information for E:\NDASH\NDASH:		//镜像保存位置
Physical Evidentiary Item (Source) Information:		//物理证据项目(源)信息:
[Device Info]		//设备信息
 Source Type: Physical		// [源类型:物理驱动器]
[驱动器几何参数]
 柱面数: 3,740
 每柱面磁道数: 255
 每磁道扇区数: 63
 每扇区字节数: 512
 扇区数: 60,088,320
[物理驱动器信息]
 驱动器型号: SanDisk Cruzer Blade USB Device
 驱动器序列号\n
 制造商的驱动器序列号: 4C530000050507222113
 驱动器接口类型\n
 连接驱动器的接口: USB
 Removable drive: 正确		//可移动驱动器
 Source data size: 29340 MB		//源数据的大小
 Sector count: 60088320		//扇区统计、扇区数
[Computed Hashes]		//计算散列值
 MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20		//MD5校验和
 SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c		//SHA1校验和

Image Information:		//镜像信息
 Acquisition started:   Thu Nov 26 17:24:03 2020		//制作开始时间
 Acquisition finished:  Thu Nov 26 17:44:22 2020		//制作完成时间
 Segment list:		//分卷列表
  E:\NDASH\NDASH.001
  E:\NDASH\NDASH.002
  E:\NDASH\NDASH.003
  E:\NDASH\NDASH.004
  E:\NDASH\NDASH.005
  E:\NDASH\NDASH.006
  E:\NDASH\NDASH.007
  E:\NDASH\NDASH.008
  E:\NDASH\NDASH.009
  E:\NDASH\NDASH.010
  E:\NDASH\NDASH.011
  E:\NDASH\NDASH.012
  E:\NDASH\NDASH.013
  E:\NDASH\NDASH.014
  E:\NDASH\NDASH.015
  E:\NDASH\NDASH.016
  E:\NDASH\NDASH.017
  E:\NDASH\NDASH.018
  E:\NDASH\NDASH.019
  E:\NDASH\NDASH.020

Image Verification Results:		//镜像验证结果
 Verification started: Thu Nov 26 17:44:24 2020		//验证开始时间
 Verification finished: Thu Nov 26 17:46:10 2020		//验证完成时间
 MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified		//MD5校验和
 SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified		//SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

你可能感兴趣的:(镜像仿真,电子取证,计算机取证,电子取证)