FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

 1)物理驱动器(P)
     整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
 2)逻辑驱动器(L)
     分区,如:一块硬盘分C盘、D盘等;
 3)映像文件(I)
     镜像文件,如:DD、E01等镜像文件;
 4)文件夹内容(F)
     文件夹,就是可对文件夹做出镜像;
 5)Fernico设备(多个CD/DVD)(D)
     对光盘做镜像;

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

 DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

 FTK Imager默认镜像分卷大小为1500MB;
 RAW镜像、E01和AFF填:0=不分卷;

默认分卷

不分卷

3、加密设置(可选)

对镜像进行加密,密码自行设置。

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

(二)记录文本

文本翻译

 创建时间 AccessData FTK Imager 4.5.0.3 
 案件信息: 
 采集方式: ADI4.5.0.3
 案例编号: NDASH
 证据编号: NDASH
 唯一性描述: NDASH
 检查员: suy
 注释: NDASH
 ---------------------------------------
 Information for E:\NDASH\NDASH:     //镜像保存位置
 Physical Evidentiary Item (Source) Information:     //物理证据项目(源)信息:
 [Device Info]       //设备信息
  Source Type: Physical      // [源类型:物理驱动器]
 [驱动器几何参数]
  柱面数: 3,740
  每柱面磁道数: 255
  每磁道扇区数: 63
  每扇区字节数: 512
  扇区数: 60,088,320
 [物理驱动器信息]
  驱动器型号: SanDisk Cruzer Blade USB Device
  驱动器序列号\n
  制造商的驱动器序列号: 4C530000050507222113
  驱动器接口类型\n
  连接驱动器的接口: USB
  Removable drive: 正确        //可移动驱动器
  Source data size: 29340 MB     //源数据的大小
  Sector count: 60088320     //扇区统计、扇区数
 [Computed Hashes]       //计算散列值
  MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20     //MD5校验和
  SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c        //SHA1校验和
 ​
 Image Information:      //镜像信息
  Acquisition started:   Thu Nov 26 17:24:03 2020        //制作开始时间
  Acquisition finished:  Thu Nov 26 17:44:22 2020        //制作完成时间
  Segment list:      //分卷列表
   E:\NDASH\NDASH.001
   E:\NDASH\NDASH.002
   E:\NDASH\NDASH.003
   E:\NDASH\NDASH.004
   E:\NDASH\NDASH.005
   E:\NDASH\NDASH.006
   E:\NDASH\NDASH.007
   E:\NDASH\NDASH.008
   E:\NDASH\NDASH.009
   E:\NDASH\NDASH.010
   E:\NDASH\NDASH.011
   E:\NDASH\NDASH.012
   E:\NDASH\NDASH.013
   E:\NDASH\NDASH.014
   E:\NDASH\NDASH.015
   E:\NDASH\NDASH.016
   E:\NDASH\NDASH.017
   E:\NDASH\NDASH.018
   E:\NDASH\NDASH.019
   E:\NDASH\NDASH.020
 ​
 Image Verification Results:     //镜像验证结果
  Verification started: Thu Nov 26 17:44:24 2020     //验证开始时间
  Verification finished: Thu Nov 26 17:46:10 2020        //验证完成时间
  MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified        //MD5校验和
  SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified       //SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

------------恢复内容结束------------

【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍的更多相关文章

  1. 这篇文章主要为大家详细介绍了jQuery密码强度验证控件使用详解的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    本文实例为大家分享了jQuery密码强度验证控件,供大家参考,具体内容如下 <html>   <head>     <meta http-equiv="Cont ...

  2. 【电子取证:FTK Imager篇】DD、E01系统镜像仿真

    星河滚烫,人生有理想! ​ ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...

  3. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  4. Docker系列06—基于容器制作镜像并上传到Docker Registry

    本文收录在容器技术学习系列文章总目录 1.制作镜像 1.1 镜像的生成途径 基于容器制作 dockerfile,docker build 本篇主要详细讲解基于容器制作镜像:基于dockerfile 制 ...

  5. BeagleBone Black的内核移植-从零开始制作镜像

    很多年前做的针对BeagleBone Black开发板的镜像制作,因为当时涉及到非标准化的,所以把基本的kernel.uboot和跟文件系统rootfs都做了一遍,文中只做移植,不作定制化的修改. 如 ...

  6. 制作镜像文件工具packer

    openstack镜像制作要在openstack上创建虚拟机,必然要使用到虚拟机镜像. 对于普通用户,可以使用已经创建好的虚拟机镜像.一般是操作系统官方构建并提供的. 某些用户可以有自己独特的需求,需 ...

  7. Docker之commit制作镜像

    一.docker是什么? Docker是一个为开发人员和系统管理员提供分布式应用程序的开放平台.它是一个开源的容器引擎,基于Go语言并遵从Apche2.0协议开源. 功能:Docker可以让开发者打包 ...

  8. GitBook制作电子书详细教程(命令行版)

    GitBook 是一款基于 Node.js 开发的开源的工具,可以通过命令行的方式创建电子书项目,再使用 MarkDown 编写电子书内容,然后生成 PDF.ePub.mobi 格式的电子书,或生成一 ...

  9. iOS开发UI篇—iPad开发中得modal介绍

    iOS开发UI篇—iPad开发中得modal介绍 一.简单介绍 说明1: 在iPhone开发中,Modal是一种常见的切换控制器的方式 默认是从屏幕底部往上弹出,直到完全盖住后面的内容为止 说明2: ...

随机推荐

  1. Java基础之字面值

    概要:什么是字面值 字面值是指在程序中无需变量保存,可直接表示为一个具体的数字或字符串的值.比如在a = b * 2这个语句中,2就是一个字面值,它本身就是一个具体的值. 在Java源代码中,字面值用 ...

  2. 正则表达式小应用之对xml格式字符串每个字段加双引号

    通过Python对接口进行自动化后需要把xml格式的报文放到LoadRunner上进行压力测试,在pyCharm控制台打印出报文后,把报文放到LoadRunner中做了格式调整后,每个字段需要添加双引 ...

  3. 关于查看本机ssh公钥以及生成公钥

    1.查看本机公钥: 打开git bush,执行  cd ~/.ssh  进入.ssh文件夹(C:\Users\Administrator\.ssh) 执行  ls  命令,查看列表 执行 cat id ...

  4. 使用 scrapy-redis实现分布式爬虫

    Scrapy 和 scrapy-redis的区别 Scrapy 是一个通用的爬虫框架,但是不支持分布式,Scrapy-redis是为了更方便地实现Scrapy分布式爬取,而提供了一些以redis为基础 ...

  5. Python爬虫之线程池

    详情点我跳转 关注公众号"轻松学编程"了解更多. 一.为什么要使用线程池? 对于任务数量不断增加的程序,每有一个任务就生成一个线程,最终会导致线程数量的失控,例如,整站爬虫,假设初 ...

  6. vim实现CTRL+S为保存快捷键

    用vim正撸代码撸的飞起,突然Xshell就掉线了,真是太蛋疼了. 于是开始怀念起vs下撸代码时随时随地ctrl+s保存的快捷键,百度了一下,网上的vim实现ctrl+s保存的快捷键设置都有问题,自己 ...

  7. dat.GUI 打造可视化工具(一)

    前言 有时候学习api其实我们可以从源码的角度学习,因为有时候很多文档写的太不清楚了,自己都是慢慢去试,去猜,去实现其实也是挺浪费时间的,面对未知的一脸蒙蔽,偶尔烦躁,其实需要的是自己静下心来慢慢研究 ...

  8. ci之 core下CodeIgniter源码分析(1)

    ci 执行流程 index.php 文件 加载codeigniter文件 codeigniter部分里面加载的: 加载配置文件constants 加载全局公共函数core/Common.php 文件 ...

  9. 总结distinct、group by 、row_number()over函数用法及区别

    distinct和group by 是一样的,查询去重,只能是全部重复的,也可以理解为针对单例,因为一行有一个字段不一样,他们就会认为这两行内容是不重复的.但是使用row_number()over这个 ...

  10. Spring Security验证,提示正确的信息

    关于Spring Security的使用,之前也整理过一些笔记,但是在提示信息的时候,总感觉还缺点什么?不管是不是前后端分离,我们都希望在登录验证出现错误的时候,能够提示友好的中文信息. 在前后端不分 ...