【FTK Imager篇】FTK Imager制作镜像详细介绍

FTK Imager制作镜像详细介绍

以DD镜像制造为例，详细介绍了FTK Imager创建镜像的过程，记得大学的时候学习这些没什么教程，找到的资料也是语焉不详，故在此啰嗦一番—【suy】

一、磁盘镜像制作步骤

Raw（dd）制作的后缀默认是“.001”。

（一）选择源证据类型

1、路径：文件（F）->创建磁盘映像（C）->选择源->物理驱动器（P）

1）物理驱动器（P）
	整个驱动器，如：识别到的是整块硬盘、U盘等，而不管你分几个分区；
2）逻辑驱动器（L）
	分区，如：一块硬盘分C盘、D盘等；
3）映像文件（I）
	镜像文件，如：DD、E01等镜像文件；
4）文件夹内容（F）
	文件夹，就是可对文件夹做出镜像；
5）Fernico设备（多个CD/DVD）(D)
	对光盘做镜像；

（二）选择需要做的磁盘

通过源驱动选择，可在选项处下拉，找到需要做镜像的驱动器，点击完成；此处以30GB的SanDisk U盘作镜像测试。

（三）选择镜像类型

考虑取证时间和存储容量成本，一般建议制作E01镜像，这里以DD镜像来演示，其他类推。

DD是不压缩的原始镜像格式，原始硬盘多大，它做出来的镜像就多大；E01是压缩格式。

（四）填写案件信息（可选）

案件编号、证据编号、唯一描述、检查员、备注（全部都是非必填项）；

（五）设置镜像参数！

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名；

2、是否分卷！！！

这是比较容易忽略的地方，不想镜像分卷的记得在此处填写”0“！！！

FTK Imager默认镜像分卷大小为1500MB；
RAW镜像、E01和AFF填：0=不分卷；

默认分卷

不分卷

3、加密设置（可选）

对镜像进行加密，密码自行设置。

4、镜像验证设置（可选）

勾选”创建后验证映像（V）“，校验比对镜像的哈希值；

勾选“预计算进度统计数据（P）“，可实时显示镜像制作的进度；

勾选”为映像中所有已创建的文件创建目录列表（D）“，为镜像中的所有已创建到的文件新建一个目录列表文档，方便查看；

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

（一）目录列表

显示镜像中所有文件，包括文件名、文件路径、文件大小、时间、删除状态等。

（二）记录文本

文本翻译

创建时间 AccessData® FTK® Imager 4.5.0.3 
案件信息: 
采集方式: ADI4.5.0.3
案例编号: NDASH
证据编号: NDASH
唯一性描述: NDASH
检查员: suy
注释: NDASH
---------------------------------------
Information for E:\NDASH\NDASH:		//镜像保存位置
Physical Evidentiary Item (Source) Information:		//物理证据项目（源）信息：
[Device Info]		//设备信息
 Source Type: Physical		// [源类型：物理驱动器]
[驱动器几何参数]
 柱面数: 3,740
 每柱面磁道数: 255
 每磁道扇区数: 63
 每扇区字节数: 512
 扇区数: 60,088,320
[物理驱动器信息]
 驱动器型号: SanDisk Cruzer Blade USB Device
 驱动器序列号\n
 制造商的驱动器序列号: 4C530000050507222113
 驱动器接口类型\n
 连接驱动器的接口: USB
 Removable drive: 正确		//可移动驱动器
 Source data size: 29340 MB		//源数据的大小
 Sector count: 60088320		//扇区统计、扇区数
[Computed Hashes]		//计算散列值
 MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20		//MD5校验和
 SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c		//SHA1校验和

Image Information:		//镜像信息
 Acquisition started:   Thu Nov 26 17:24:03 2020		//制作开始时间
 Acquisition finished:  Thu Nov 26 17:44:22 2020		//制作完成时间
 Segment list:		//分卷列表
  E:\NDASH\NDASH.001
  E:\NDASH\NDASH.002
  E:\NDASH\NDASH.003
  E:\NDASH\NDASH.004
  E:\NDASH\NDASH.005
  E:\NDASH\NDASH.006
  E:\NDASH\NDASH.007
  E:\NDASH\NDASH.008
  E:\NDASH\NDASH.009
  E:\NDASH\NDASH.010
  E:\NDASH\NDASH.011
  E:\NDASH\NDASH.012
  E:\NDASH\NDASH.013
  E:\NDASH\NDASH.014
  E:\NDASH\NDASH.015
  E:\NDASH\NDASH.016
  E:\NDASH\NDASH.017
  E:\NDASH\NDASH.018
  E:\NDASH\NDASH.019
  E:\NDASH\NDASH.020

Image Verification Results:		//镜像验证结果
 Verification started: Thu Nov 26 17:44:24 2020		//验证开始时间
 Verification finished: Thu Nov 26 17:46:10 2020		//验证完成时间
 MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified		//MD5校验和
 SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified		//SHA1校验和

总结

主要默认分卷这步容易被忽略，还有后面文本翻译的可能不够准确，见谅！

名称	时间
开始编制日期：	2020 年 11 月 26 日
最后编辑日期：	2020 年 11 月 26 日