軟件下載:鏈接: https://pan.baidu.com/s/1_r0ZdImQp6azxz956HU7dg 提取碼: uveg
一、FTK Imager 主要功能
1.證據(jù)獲取
2.哈希值計算
3.文件查看及提取
4.鏡像文件掛載
5.數(shù)據(jù)恢復(fù)
6.特定數(shù)據(jù)提取
二、證據(jù)獲取
FTK image支撐獲取的數(shù)據(jù)來源類型:
物理磁盤
邏輯驅(qū)動器
鏡像文件(EO1、DD 、smart、vmdk、gho、nero)
文件夾
物理內(nèi)存
證據(jù)獲取類型:
物理鏡像(針對特定物理磁盤或邏輯驅(qū)動器)
邏輯鏡像(針對特定文件夾、磁盤特定對象)
內(nèi)存鏡像
三、證據(jù)獲取-物理鏡像
選擇物理驅(qū)動器即可,其他可以根據(jù)需求進行選擇操作
選擇驅(qū)動器,由于我這里是在虛擬機操作,顯示則為vmware
導(dǎo)出磁盤鏡像
這里選擇E01格式,這是Windows常見用于司法設(shè)置的證據(jù)。也可以選擇raw(dd)
填寫相關(guān)的信息作為檔案信息,以備用于大量鏡像考究
后綴名可以自行自定義
直接開始
磁盤鏡像提取需要足夠大的第二磁盤空間進行存放鏡像,否則執(zhí)行一般會出現(xiàn)錯誤
四、證據(jù)獲取-內(nèi)存鏡像
點擊Captur Memory進行內(nèi)存鏡像提取
默認包含pagefile
等待完成
至此鏡像證據(jù)的提取已經(jīng)操作成功,接下來可以通過一些工具進行取證分析。
對于Windows鏡像提取工具有很多,像DumpIt也是一款常用的工具,其他工具大家可以過后進行了解,選擇一款適用于自己的工具即可。
Linux的鏡像提取比較簡單,可以通過dd命令進行操作,這里不再過多介紹。
下一篇文章再給大家介紹取證分析。