【镜像取证篇】FTK imager校验外部镜像的源盘哈希值
使用FTK imager校验E01镜像文件的源盘哈希值—【蘇小沐】
1、实验环境
(一)FTK imager校验镜像源盘哈希
1、添加证据项
路径:选择菜单栏的"添加证据项"->“源证据类型”->“映像文件(I)”->选择镜像所在路径。
选择镜像文件所在路径。
2、校验镜像文件
路径1:菜单栏"文件"->“校验驱动/镜像”,即可计算当前添加的镜像文件。
(一定要是先添加了镜像或者驱动等,这里的选项才可用,不然是灰色不可选的哟)
路径2:或者直接在"证据树(E)“右键刚添加的镜像文件,选择"校验驱动/镜像”,即可计算当前添加的镜像文件。
校验进度
3、校验结果
得到的就是源盘的哈希值。
和制作镜像文件时的记录做对比,源盘校验值一致!!!
(二)"镜像文件"的哈希和"镜像的源盘"哈希比较
"E01镜像文件"等压缩镜像格式的哈希值不等于"镜像的源盘"哈希值!!!
总会有人把这两个搞混,觉得一会镜像文件的哈希,一会又是源盘的哈希,同一个盘出来的,怎么计算的哈希还不一样?是不是检材被污染啦?是不是工具出了问题啊?下一篇会展开啰嗦下。
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
【往期精彩回顾】
关注我,了解更多取证知识,别忘了点赞+在看哦!
本文转自 https://mp.weixin.qq.com/s/445g4QfennKU4TGvpMF1Og,如有侵权,请联系删除。