FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

 1)物理驱动器(P)
     整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
 2)逻辑驱动器(L)
     分区,如:一块硬盘分C盘、D盘等;
 3)映像文件(I)
     镜像文件,如:DD、E01等镜像文件;
 4)文件夹内容(F)
     文件夹,就是可对文件夹做出镜像;
 5)Fernico设备(多个CD/DVD)(D)
     对光盘做镜像;

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

 DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

 FTK Imager默认镜像分卷大小为1500MB;
 RAW镜像、E01和AFF填:0=不分卷;

默认分卷

不分卷

3、加密设置(可选)

对镜像进行加密,密码自行设置。

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

(二)记录文本

文本翻译

 创建时间 AccessData FTK Imager 4.5.0.3 
 案件信息: 
 采集方式: ADI4.5.0.3
 案例编号: NDASH
 证据编号: NDASH
 唯一性描述: NDASH
 检查员: suy
 注释: NDASH
 ---------------------------------------
 Information for E:\NDASH\NDASH:     //镜像保存位置
 Physical Evidentiary Item (Source) Information:     //物理证据项目(源)信息:
 [Device Info]       //设备信息
  Source Type: Physical      // [源类型:物理驱动器]
 [驱动器几何参数]
  柱面数: 3,740
  每柱面磁道数: 255
  每磁道扇区数: 63
  每扇区字节数: 512
  扇区数: 60,088,320
 [物理驱动器信息]
  驱动器型号: SanDisk Cruzer Blade USB Device
  驱动器序列号\n
  制造商的驱动器序列号: 4C530000050507222113
  驱动器接口类型\n
  连接驱动器的接口: USB
  Removable drive: 正确        //可移动驱动器
  Source data size: 29340 MB     //源数据的大小
  Sector count: 60088320     //扇区统计、扇区数
 [Computed Hashes]       //计算散列值
  MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20     //MD5校验和
  SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c        //SHA1校验和
 ​
 Image Information:      //镜像信息
  Acquisition started:   Thu Nov 26 17:24:03 2020        //制作开始时间
  Acquisition finished:  Thu Nov 26 17:44:22 2020        //制作完成时间
  Segment list:      //分卷列表
   E:\NDASH\NDASH.001
   E:\NDASH\NDASH.002
   E:\NDASH\NDASH.003
   E:\NDASH\NDASH.004
   E:\NDASH\NDASH.005
   E:\NDASH\NDASH.006
   E:\NDASH\NDASH.007
   E:\NDASH\NDASH.008
   E:\NDASH\NDASH.009
   E:\NDASH\NDASH.010
   E:\NDASH\NDASH.011
   E:\NDASH\NDASH.012
   E:\NDASH\NDASH.013
   E:\NDASH\NDASH.014
   E:\NDASH\NDASH.015
   E:\NDASH\NDASH.016
   E:\NDASH\NDASH.017
   E:\NDASH\NDASH.018
   E:\NDASH\NDASH.019
   E:\NDASH\NDASH.020
 ​
 Image Verification Results:     //镜像验证结果
  Verification started: Thu Nov 26 17:44:24 2020     //验证开始时间
  Verification finished: Thu Nov 26 17:46:10 2020        //验证完成时间
  MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified        //MD5校验和
  SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified       //SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

------------恢复内容结束------------

【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍的更多相关文章

  1. 这篇文章主要为大家详细介绍了jQuery密码强度验证控件使用详解的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    本文实例为大家分享了jQuery密码强度验证控件,供大家参考,具体内容如下 <html>   <head>     <meta http-equiv="Cont ...

  2. 【电子取证:FTK Imager篇】DD、E01系统镜像仿真

    星河滚烫,人生有理想! ​ ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...

  3. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  4. Docker系列06—基于容器制作镜像并上传到Docker Registry

    本文收录在容器技术学习系列文章总目录 1.制作镜像 1.1 镜像的生成途径 基于容器制作 dockerfile,docker build 本篇主要详细讲解基于容器制作镜像:基于dockerfile 制 ...

  5. BeagleBone Black的内核移植-从零开始制作镜像

    很多年前做的针对BeagleBone Black开发板的镜像制作,因为当时涉及到非标准化的,所以把基本的kernel.uboot和跟文件系统rootfs都做了一遍,文中只做移植,不作定制化的修改. 如 ...

  6. 制作镜像文件工具packer

    openstack镜像制作要在openstack上创建虚拟机,必然要使用到虚拟机镜像. 对于普通用户,可以使用已经创建好的虚拟机镜像.一般是操作系统官方构建并提供的. 某些用户可以有自己独特的需求,需 ...

  7. Docker之commit制作镜像

    一.docker是什么? Docker是一个为开发人员和系统管理员提供分布式应用程序的开放平台.它是一个开源的容器引擎,基于Go语言并遵从Apche2.0协议开源. 功能:Docker可以让开发者打包 ...

  8. GitBook制作电子书详细教程(命令行版)

    GitBook 是一款基于 Node.js 开发的开源的工具,可以通过命令行的方式创建电子书项目,再使用 MarkDown 编写电子书内容,然后生成 PDF.ePub.mobi 格式的电子书,或生成一 ...

  9. iOS开发UI篇—iPad开发中得modal介绍

    iOS开发UI篇—iPad开发中得modal介绍 一.简单介绍 说明1: 在iPhone开发中,Modal是一种常见的切换控制器的方式 默认是从屏幕底部往上弹出,直到完全盖住后面的内容为止 说明2: ...

随机推荐

  1. No compatible servers were found,You'll need to cancel this wizard and install one!

    原文链接:https://www.jianshu.com/p/a11f93fb16ce 问题原因 笔记本重装的windows系统,重新安装mysql的时候,显示错误,看了一下缺失服务,实际上可能是缺少 ...

  2. Spring学习-spring核心机制-IOC依赖注入

    转载自:http://www.cnblogs.com/chenssy/archive/2012/11/11/2765266.html 今天复习一下spring两大特性之一:IOC依赖注入,看了一下大佬 ...

  3. Java数据结构-03单链表(二)

    在之前我们封装了一些操作在接口类中,并在抽象类实现了相同的方法.下面我们开始写代码: 无头结点单链表:(注意下面的AbstractList是之前抽取的类,不是java.util包下的类) public ...

  4. PLC模拟量输入和数字量输入是什么

    数字信号输入输出: 就是开关闭合,断开. 模拟量输入输出: 就是一个数值.比如:液位1.5米,温度30度,这样的数. 输入单元 输入单元是PLC与被控设备相连的输入接口,是信号进入PLC的桥梁,它的作 ...

  5. NB-IoT技术适合在哪些场景应用

    LPWAN,Low Power Wide Area Network,低功耗广域网.名字里就有它的两个最重要的特点:低功耗.广覆盖.目前比较主流的有:NB-IoT.LoRa.Sigfox.eMTC.NB ...

  6. (四)HTTP消息报头

    HTTP消息由客户端到服务器的请求和服务器到客户端的响应组成.请求消息和响应消息都是由开始行,消息报头,空行(只有CRLF的行),消息正文组成.对于请求消息,开始行就是请求行:对于响应消息,开始行就是 ...

  7. 第 2 篇:上手 Vue 展示 todo 列表

    作者:HelloGitHub-追梦人物 追梦人物的 Vue 系列教程在他的博客已经全部更新完成,地址: https://www.zmrenwu.com/courses/vue2x-todo-tutor ...

  8. 基于gin的golang web开发:访问mysql数据库

    web开发基本都离不开访问数据库,在Gin中使用mysql数据库需要依赖mysql的驱动.直接使用驱动提供的API就要写很多样板代码.你可以找到很多扩展包这里介绍的是jmoiron/sqlx.另外还有 ...

  9. .NET 5 和 C#9 /F#5 一起到来, 向实现 .NET 统一迈出了一大步

    经过一年多的开发,Microsoft 于北京时间 11 月 11 日(星期三)发布了其 .NET 5软件开发平台,强调平台的统一,并引入了 C# 9 和 F# 5 编程语言,新平台朝着桌面.Web.移 ...

  10. 执行 yarn init报错,如何解决?

    安装yarn以后执行yarn init 命令来初始化项目 报错如下所示: 解决方法: 1.先用npm init初始化项目 在初始化的最后一步 is this ok(yes)? 输入yes回车后,可能会 ...