三个人一起躁我吃奶头80分钟,三年片大全免费观看,三年片免费观看影视大全满天星,三年成全免费高清大全,三年片免费观看大全有,三年片在线观看大全

軟件下載：鏈接: https://pan.baidu.com/s/1_r0ZdImQp6azxz956HU7dg 提取碼: uveg

一、FTK Imager 主要功能

1.證據(jù)獲取

2.哈希值計(jì)算

3.文件查看及提取

4.鏡像文件掛載

5.數(shù)據(jù)恢復(fù)

6.特定數(shù)據(jù)提取

二、證據(jù)獲取

FTK image支撐獲取的數(shù)據(jù)來源類型：

物理磁盤

邏輯驅(qū)動(dòng)器

鏡像文件（EO1、DD 、smart、vmdk、gho、nero）

文件夾

物理內(nèi)存

證據(jù)獲取類型：

物理鏡像（針對(duì)特定物理磁盤或邏輯驅(qū)動(dòng)器）

邏輯鏡像（針對(duì)特定文件夾、磁盤特定對(duì)象）

內(nèi)存鏡像

三、證據(jù)獲取-物理鏡像

選擇物理驅(qū)動(dòng)器即可，其他可以根據(jù)需求進(jìn)行選擇操作

選擇驅(qū)動(dòng)器，由于我這里是在虛擬機(jī)操作，顯示則為vmware

導(dǎo)出磁盤鏡像

這里選擇E01格式，這是Windows常見用于司法設(shè)置的證據(jù)。也可以選擇raw（dd）

填寫相關(guān)的信息作為檔案信息，以備用于大量鏡像考究

后綴名可以自行自定義

直接開始

磁盤鏡像提取需要足夠大的第二磁盤空間進(jìn)行存放鏡像，否則執(zhí)行一般會(huì)出現(xiàn)錯(cuò)誤

四、證據(jù)獲取-內(nèi)存鏡像

點(diǎn)擊Captur Memory進(jìn)行內(nèi)存鏡像提取

默認(rèn)包含pagefile

等待完成

至此鏡像證據(jù)的提取已經(jīng)操作成功，接下來可以通過一些工具進(jìn)行取證分析。

對(duì)于Windows鏡像提取工具有很多，像DumpIt也是一款常用的工具，其他工具大家可以過后進(jìn)行了解，選擇一款適用于自己的工具即可。

Linux的鏡像提取比較簡(jiǎn)單，可以通過dd命令進(jìn)行操作，這里不再過多介紹。

下一篇文章再給大家介紹取證分析。