【FTK Imager篇】FTK Imager制作镜像详细教程
以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【蘇小沐】
1、选择源证据类型
【路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)】
参数设置
(1)物理驱动器
整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
(2)逻辑驱动器(L)
分区,如:一块硬盘分C盘、D盘等;
(3)映像文件(I)
镜像文件,如:DD、E01等镜像文件;
(4)文件夹内容(F)
文件夹,就是可对文件夹做出镜像;
(5)Fernico设备(多个CD/DVD)(D)
对光盘做镜像;
2、选择需要做的磁盘
通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。
3、选择镜像类型
考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。
DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。
4、填写案件信息(可选)
案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);
5、设置镜像参数!
镜像参数设置
镜像保存位置、镜像名
选择镜像存储位置、自定义镜像名;
是否分卷!!!
这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!
【FTK Imager默认镜像分卷大小为1500MB;
RAW镜像、E01和AFF填:0=不分卷;】
默认分卷
不分卷
6、加密设置(可选)
对镜像进行加密,密码自行设置。
7、镜像验证设置(可选)
勾选”创建后验证映像(V)“,校验比对镜像的哈希值;
勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;
勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;
开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。
8、镜像制作完成
9、证据信息记录
【目录列表】显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。
10、记录文本
11、文本翻译
镜像文本翻译
Created By AccessData® FTK® Imager 4.5.0.3
Case Information: //案件信息:
Acquired using: ADI4.5.0.3 //采集方式:
Case Number: NDASH //案件编号:
Evidence Number: NDASH //证据编号:
Unique Description: NDASH //唯一描述:
Examiner: suy //检查员:
Notes: NDASH--------------------------------------- //备注:
Information for E:\NDASH\NDASH: //镜像保存位置
Physical Evidentiary Item (Source) Information: //物理证据项目(源)信息:
[Device Info] //[设备信息]
Source Type: Physical //源类型:物理驱动器
[Drive Geometry] //[驱动器几何参数]
Cylinders: 3,740 //柱面数:
Tracks per Cylinder: 255 //每柱面磁道数:
Sectors per Track: 63 //每磁道扇区数:
Bytes per Sector: 512 //每扇区字节数:
Sector Count: 60,088,320 //扇区数:
[Physical Drive Information] //[物理驱动器信息]
Drive Model: SanDisk Cruzer Blade USB Device //驱动器型号:
Drive Serial Number:4C530000050507222113 //设备驱动器序列号:
Drive Interface Type: USB //驱动器接口类型:
Removable drive: 正确 //可移动驱动器:
Source data size: 29340 MB //源数据大小:
Sector count: 60088320 //扇区数:
[Computed Hashes] //[计算散列值]
MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20 //MD5校验和
SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c //SHA1校验和
Image Information: //镜像信息
Acquisition started: Thu Nov 26 17:24:03 2020 //制作开始时间
Acquisition finished: Thu Nov 26 17:44:22 2020 //制作完成时间
Segment list: //分卷列表
E:\NDASH\NDASH.001
E:\NDASH\NDASH.002
E:\NDASH\NDASH.003
E:\NDASH\NDASH.004
E:\NDASH\NDASH.005
E:\NDASH\NDASH.006
E:\NDASH\NDASH.007
E:\NDASH\NDASH.008
E:\NDASH\NDASH.009
E:\NDASH\NDASH.010
E:\NDASH\NDASH.011
E:\NDASH\NDASH.012
E:\NDASH\NDASH.013
E:\NDASH\NDASH.014
E:\NDASH\NDASH.015
E:\NDASH\NDASH.016
E:\NDASH\NDASH.017
E:\NDASH\NDASH.018
E:\NDASH\NDASH.019
E:\NDASH\NDASH.020
Image Verification Results: //镜像验证结果
Verification started: Thu Nov 26 17:44:24 2020 //验证开始时间
Verification finished: Thu Nov 26 17:46:10 2020 //验证完成时间
MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校验和
SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified //SHA1校验和
总结
主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集,如链接失效请留言,便于更新维护。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】