FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

 1)物理驱动器(P)
     整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
 2)逻辑驱动器(L)
     分区,如:一块硬盘分C盘、D盘等;
 3)映像文件(I)
     镜像文件,如:DD、E01等镜像文件;
 4)文件夹内容(F)
     文件夹,就是可对文件夹做出镜像;
 5)Fernico设备(多个CD/DVD)(D)
     对光盘做镜像;

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

 DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

 FTK Imager默认镜像分卷大小为1500MB;
 RAW镜像、E01和AFF填:0=不分卷;

默认分卷

不分卷

3、加密设置(可选)

对镜像进行加密,密码自行设置。

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

(二)记录文本

文本翻译

 创建时间 AccessData FTK Imager 4.5.0.3 
 案件信息: 
 采集方式: ADI4.5.0.3
 案例编号: NDASH
 证据编号: NDASH
 唯一性描述: NDASH
 检查员: suy
 注释: NDASH
 ---------------------------------------
 Information for E:\NDASH\NDASH:     //镜像保存位置
 Physical Evidentiary Item (Source) Information:     //物理证据项目(源)信息:
 [Device Info]       //设备信息
  Source Type: Physical      // [源类型:物理驱动器]
 [驱动器几何参数]
  柱面数: 3,740
  每柱面磁道数: 255
  每磁道扇区数: 63
  每扇区字节数: 512
  扇区数: 60,088,320
 [物理驱动器信息]
  驱动器型号: SanDisk Cruzer Blade USB Device
  驱动器序列号\n
  制造商的驱动器序列号: 4C530000050507222113
  驱动器接口类型\n
  连接驱动器的接口: USB
  Removable drive: 正确        //可移动驱动器
  Source data size: 29340 MB     //源数据的大小
  Sector count: 60088320     //扇区统计、扇区数
 [Computed Hashes]       //计算散列值
  MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20     //MD5校验和
  SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c        //SHA1校验和
 ​
 Image Information:      //镜像信息
  Acquisition started:   Thu Nov 26 17:24:03 2020        //制作开始时间
  Acquisition finished:  Thu Nov 26 17:44:22 2020        //制作完成时间
  Segment list:      //分卷列表
   E:\NDASH\NDASH.001
   E:\NDASH\NDASH.002
   E:\NDASH\NDASH.003
   E:\NDASH\NDASH.004
   E:\NDASH\NDASH.005
   E:\NDASH\NDASH.006
   E:\NDASH\NDASH.007
   E:\NDASH\NDASH.008
   E:\NDASH\NDASH.009
   E:\NDASH\NDASH.010
   E:\NDASH\NDASH.011
   E:\NDASH\NDASH.012
   E:\NDASH\NDASH.013
   E:\NDASH\NDASH.014
   E:\NDASH\NDASH.015
   E:\NDASH\NDASH.016
   E:\NDASH\NDASH.017
   E:\NDASH\NDASH.018
   E:\NDASH\NDASH.019
   E:\NDASH\NDASH.020
 ​
 Image Verification Results:     //镜像验证结果
  Verification started: Thu Nov 26 17:44:24 2020     //验证开始时间
  Verification finished: Thu Nov 26 17:46:10 2020        //验证完成时间
  MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified        //MD5校验和
  SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified       //SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

------------恢复内容结束------------

【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍的更多相关文章

  1. 这篇文章主要为大家详细介绍了jQuery密码强度验证控件使用详解的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    本文实例为大家分享了jQuery密码强度验证控件,供大家参考,具体内容如下 <html>   <head>     <meta http-equiv="Cont ...

  2. 【电子取证:FTK Imager篇】DD、E01系统镜像仿真

    星河滚烫,人生有理想! ​ ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...

  3. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  4. Docker系列06—基于容器制作镜像并上传到Docker Registry

    本文收录在容器技术学习系列文章总目录 1.制作镜像 1.1 镜像的生成途径 基于容器制作 dockerfile,docker build 本篇主要详细讲解基于容器制作镜像:基于dockerfile 制 ...

  5. BeagleBone Black的内核移植-从零开始制作镜像

    很多年前做的针对BeagleBone Black开发板的镜像制作,因为当时涉及到非标准化的,所以把基本的kernel.uboot和跟文件系统rootfs都做了一遍,文中只做移植,不作定制化的修改. 如 ...

  6. 制作镜像文件工具packer

    openstack镜像制作要在openstack上创建虚拟机,必然要使用到虚拟机镜像. 对于普通用户,可以使用已经创建好的虚拟机镜像.一般是操作系统官方构建并提供的. 某些用户可以有自己独特的需求,需 ...

  7. Docker之commit制作镜像

    一.docker是什么? Docker是一个为开发人员和系统管理员提供分布式应用程序的开放平台.它是一个开源的容器引擎,基于Go语言并遵从Apche2.0协议开源. 功能:Docker可以让开发者打包 ...

  8. GitBook制作电子书详细教程(命令行版)

    GitBook 是一款基于 Node.js 开发的开源的工具,可以通过命令行的方式创建电子书项目,再使用 MarkDown 编写电子书内容,然后生成 PDF.ePub.mobi 格式的电子书,或生成一 ...

  9. iOS开发UI篇—iPad开发中得modal介绍

    iOS开发UI篇—iPad开发中得modal介绍 一.简单介绍 说明1: 在iPhone开发中,Modal是一种常见的切换控制器的方式 默认是从屏幕底部往上弹出,直到完全盖住后面的内容为止 说明2: ...

随机推荐

  1. Pytorch加载并可视化FashionMNIST指定层(Udacity)

    加载并可视化FashionMNIST 在这个notebook中,我们要加载并查看 Fashion-MNIST 数据库中的图像. 任何分类问题的第一步,都是查看你正在使用的数据集.这样你可以了解有关图像 ...

  2. 操作安装docker

    在本地建造起vue-cli服务 参考项目:https : //gitee.com/QiHanXiBei/myvue 在本地建造起一个django项目架构,通过/ hello能够打印出helloworl ...

  3. JavaScript监听滚动条的进度条

    <style type="text/css"> *{ margin: 0; padding: 0; } .g-box{ width: 100%; height: 400 ...

  4. 《Clojure编程》笔记 第5章 宏

    目录 背景简述 第5章 宏 5.0 术语 5.1 宏到底是什么 5.1.1 宏不是什么 5.1.2 有什么是宏能做而函数不能做的 5.1.3 宏vsRuby的eval 5.2 编写你的第一个宏 5.3 ...

  5. Java并发(一):线程

    目录 一.什么是线程 二.中断线程 三.线程状态 四.线程属性 前言: 本文将简单的介绍JAVA并发中的线程. 操作系统的多任务(multitasking):计算机在同一刻运行多个程序的能力,即并发. ...

  6. Matlab批量绘制图像并保存

    author:ZKe ------------------------------- 以下是一个txt文件,每行11个字段,第一个字段是日期,后面10个是用户id和对应今天发表微博数,所有字段用制表符 ...

  7. 按揭贷款的计算原理与java实现

    Number部分(6) Mortgage Calculator--按揭贷款计算器 题目描述: Mortgage Calculator – Calculate the monthly payments ...

  8. 如何将别人Google云端硬盘中的数据进行保存

    查了好久终于知道! 如何将别人Google云端硬盘中的数据进行copy,而不是右键发现只有添加快捷方式 只要shift+z就可以保存了! 之后等我弄清楚怎么将别人家的云盘中的数据集导到colab再来详 ...

  9. 基于YOLO-V2的行人检测(自训练)附pytorch安装方法

    声明:本文是别人发表在github上的项目,并非个人原创,因为那个项目直接下载后出现了一些版本不兼容的问题,故写此文帮助解决.(本人争取在今年有空的时间,自己实现基于YOLO-V4的行人检测) 项目链 ...

  10. 聚类之k-means附代码

    import osimport sys as sys#reload(sys)#sys.setdefaultencoding('utf-8')from sklearn.cluster import KM ...