【電子取證:FTK Imager篇】FTK Imager製作鏡像詳細介紹
- 2020 年 11 月 26 日
- 筆記
- FTK Imager, Windows取證, 電子取證, 電子取證:FTK Imager篇
以DD鏡像製造為例,詳細介紹了FTK Imager創建鏡像的過程,記得大學的時候學習這些沒什麼教程,找到的資料也是語焉不詳,故在此啰嗦一番—【suy】
一、磁碟鏡像製作步驟
Raw(dd)製作的後綴默認是「.001」。
(一)選擇源證據類型
1、路徑:文件(F)->創建磁碟映像(C)->選擇源->物理驅動器(P)
1)物理驅動器(P)
整個驅動器,如:識別到的是整塊硬碟、U盤等,而不管你分幾個分區;
2)邏輯驅動器(L)
分區,如:一塊硬碟分C盤、D盤等;
3)映像文件(I)
鏡像文件,如:DD、E01等鏡像文件;
4)文件夾內容(F)
文件夾,就是可對文件夾做出鏡像;
5)Fernico設備(多個CD/DVD)(D)
對光碟做鏡像;
(二)選擇需要做的磁碟
通過源驅動選擇,可在選項處下拉,找到需要做鏡像的驅動器,點擊完成;此處以30GB的SanDisk U盤作鏡像測試。
(三)選擇鏡像類型
考慮取證時間和存儲容量成本,一般建議製作E01鏡像,這裡以DD鏡像來演示,其他類推。
DD是不壓縮的原始鏡像格式,原始硬碟多大,它做出來的鏡像就多大;E01是壓縮格式。
(四)填寫案件資訊(可選)
案件編號、證據編號、唯一描述、檢查員、備註(全部都是非必填項);
(五)設置鏡像參數!
1、鏡像保存位置、鏡像名
選擇鏡像存儲位置、自定義鏡像名;
2、是否分卷!!!
這是比較容易忽略的地方,不想鏡像分卷的記得在此處填寫」0「!!!
FTK Imager默認鏡像分卷大小為1500MB;
RAW鏡像、E01和AFF填:0=不分卷;
默認分卷
不分卷
3、加密設置(可選)
對鏡像進行加密,密碼自行設置。
4、鏡像驗證設置(可選)
勾選」創建後驗證映像(V)「,校驗比對鏡像的哈希值;
勾選「預計算進度統計數據(P)「,可實時顯示鏡像製作的進度;
勾選」為映像中所有已創建的文件創建目錄列表(D)「,為鏡像中的所有已創建到的文件新建一個目錄列表文檔,方便查看;
開始製作鏡像、勾選預計算進度統計數據後可實時顯示鏡像製作的進度。
5、鏡像製作完成
二、證據資訊記錄
(一)目錄列表
顯示鏡像中所有文件,包括文件名、文件路徑、文件大小、時間、刪除狀態等。
(二)記錄文本
文本翻譯
創建時間 AccessData® FTK® Imager 4.5.0.3
案件資訊:
採集方式: ADI4.5.0.3
案例編號: NDASH
證據編號: NDASH
唯一性描述: NDASH
檢查員: suy
注釋: NDASH
---------------------------------------
Information for E:\NDASH\NDASH: //鏡像保存位置
Physical Evidentiary Item (Source) Information: //物理證據項目(源)資訊:
[Device Info] //設備資訊
Source Type: Physical // [源類型:物理驅動器]
[驅動器幾何參數]
柱面數: 3,740
每柱面磁軌數: 255
每磁軌扇區數: 63
每扇區位元組數: 512
扇區數: 60,088,320
[物理驅動器資訊]
驅動器型號: SanDisk Cruzer Blade USB Device
驅動器序列號\n
製造商的驅動器序列號: 4C530000050507222113
驅動器介面類型\n
連接驅動器的介面: USB
Removable drive: 正確 //可移動驅動器
Source data size: 29340 MB //源數據的大小
Sector count: 60088320 //扇區統計、扇區數
[Computed Hashes] //計算散列值
MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20 //MD5校驗和
SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c //SHA1校驗和
Image Information: //鏡像資訊
Acquisition started: Thu Nov 26 17:24:03 2020 //製作開始時間
Acquisition finished: Thu Nov 26 17:44:22 2020 //製作完成時間
Segment list: //分卷列表
E:\NDASH\NDASH.001
E:\NDASH\NDASH.002
E:\NDASH\NDASH.003
E:\NDASH\NDASH.004
E:\NDASH\NDASH.005
E:\NDASH\NDASH.006
E:\NDASH\NDASH.007
E:\NDASH\NDASH.008
E:\NDASH\NDASH.009
E:\NDASH\NDASH.010
E:\NDASH\NDASH.011
E:\NDASH\NDASH.012
E:\NDASH\NDASH.013
E:\NDASH\NDASH.014
E:\NDASH\NDASH.015
E:\NDASH\NDASH.016
E:\NDASH\NDASH.017
E:\NDASH\NDASH.018
E:\NDASH\NDASH.019
E:\NDASH\NDASH.020
Image Verification Results: //鏡像驗證結果
Verification started: Thu Nov 26 17:44:24 2020 //驗證開始時間
Verification finished: Thu Nov 26 17:46:10 2020 //驗證完成時間
MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校驗和
SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified //SHA1校驗和
總結
主要默認分卷這步容易被忽略,還有後面文本翻譯的可能不夠準確,見諒!
| 名稱 | 時間 |
|---|---|
| 開始編製日期: | 2020 年 11 月 26 日 |
| 最後編輯日期: | 2020 年 11 月 26 日 |
