FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

 1)物理驱动器(P)
     整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
 2)逻辑驱动器(L)
     分区,如:一块硬盘分C盘、D盘等;
 3)映像文件(I)
     镜像文件,如:DD、E01等镜像文件;
 4)文件夹内容(F)
     文件夹,就是可对文件夹做出镜像;
 5)Fernico设备(多个CD/DVD)(D)
     对光盘做镜像;

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

 DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

 FTK Imager默认镜像分卷大小为1500MB;
 RAW镜像、E01和AFF填:0=不分卷;

默认分卷

不分卷

3、加密设置(可选)

对镜像进行加密,密码自行设置。

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

(二)记录文本

文本翻译

 创建时间 AccessData FTK Imager 4.5.0.3 
 案件信息: 
 采集方式: ADI4.5.0.3
 案例编号: NDASH
 证据编号: NDASH
 唯一性描述: NDASH
 检查员: suy
 注释: NDASH
 ---------------------------------------
 Information for E:\NDASH\NDASH:     //镜像保存位置
 Physical Evidentiary Item (Source) Information:     //物理证据项目(源)信息:
 [Device Info]       //设备信息
  Source Type: Physical      // [源类型:物理驱动器]
 [驱动器几何参数]
  柱面数: 3,740
  每柱面磁道数: 255
  每磁道扇区数: 63
  每扇区字节数: 512
  扇区数: 60,088,320
 [物理驱动器信息]
  驱动器型号: SanDisk Cruzer Blade USB Device
  驱动器序列号\n
  制造商的驱动器序列号: 4C530000050507222113
  驱动器接口类型\n
  连接驱动器的接口: USB
  Removable drive: 正确        //可移动驱动器
  Source data size: 29340 MB     //源数据的大小
  Sector count: 60088320     //扇区统计、扇区数
 [Computed Hashes]       //计算散列值
  MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20     //MD5校验和
  SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c        //SHA1校验和
 ​
 Image Information:      //镜像信息
  Acquisition started:   Thu Nov 26 17:24:03 2020        //制作开始时间
  Acquisition finished:  Thu Nov 26 17:44:22 2020        //制作完成时间
  Segment list:      //分卷列表
   E:\NDASH\NDASH.001
   E:\NDASH\NDASH.002
   E:\NDASH\NDASH.003
   E:\NDASH\NDASH.004
   E:\NDASH\NDASH.005
   E:\NDASH\NDASH.006
   E:\NDASH\NDASH.007
   E:\NDASH\NDASH.008
   E:\NDASH\NDASH.009
   E:\NDASH\NDASH.010
   E:\NDASH\NDASH.011
   E:\NDASH\NDASH.012
   E:\NDASH\NDASH.013
   E:\NDASH\NDASH.014
   E:\NDASH\NDASH.015
   E:\NDASH\NDASH.016
   E:\NDASH\NDASH.017
   E:\NDASH\NDASH.018
   E:\NDASH\NDASH.019
   E:\NDASH\NDASH.020
 ​
 Image Verification Results:     //镜像验证结果
  Verification started: Thu Nov 26 17:44:24 2020     //验证开始时间
  Verification finished: Thu Nov 26 17:46:10 2020        //验证完成时间
  MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified        //MD5校验和
  SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified       //SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

------------恢复内容结束------------

【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍的更多相关文章

  1. 这篇文章主要为大家详细介绍了jQuery密码强度验证控件使用详解的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    本文实例为大家分享了jQuery密码强度验证控件,供大家参考,具体内容如下 <html>   <head>     <meta http-equiv="Cont ...

  2. 【电子取证:FTK Imager篇】DD、E01系统镜像仿真

    星河滚烫,人生有理想! ​ ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...

  3. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  4. Docker系列06—基于容器制作镜像并上传到Docker Registry

    本文收录在容器技术学习系列文章总目录 1.制作镜像 1.1 镜像的生成途径 基于容器制作 dockerfile,docker build 本篇主要详细讲解基于容器制作镜像:基于dockerfile 制 ...

  5. BeagleBone Black的内核移植-从零开始制作镜像

    很多年前做的针对BeagleBone Black开发板的镜像制作,因为当时涉及到非标准化的,所以把基本的kernel.uboot和跟文件系统rootfs都做了一遍,文中只做移植,不作定制化的修改. 如 ...

  6. 制作镜像文件工具packer

    openstack镜像制作要在openstack上创建虚拟机,必然要使用到虚拟机镜像. 对于普通用户,可以使用已经创建好的虚拟机镜像.一般是操作系统官方构建并提供的. 某些用户可以有自己独特的需求,需 ...

  7. Docker之commit制作镜像

    一.docker是什么? Docker是一个为开发人员和系统管理员提供分布式应用程序的开放平台.它是一个开源的容器引擎,基于Go语言并遵从Apche2.0协议开源. 功能:Docker可以让开发者打包 ...

  8. GitBook制作电子书详细教程(命令行版)

    GitBook 是一款基于 Node.js 开发的开源的工具,可以通过命令行的方式创建电子书项目,再使用 MarkDown 编写电子书内容,然后生成 PDF.ePub.mobi 格式的电子书,或生成一 ...

  9. iOS开发UI篇—iPad开发中得modal介绍

    iOS开发UI篇—iPad开发中得modal介绍 一.简单介绍 说明1: 在iPhone开发中,Modal是一种常见的切换控制器的方式 默认是从屏幕底部往上弹出,直到完全盖住后面的内容为止 说明2: ...

随机推荐

  1. 如何使用Internet Explorer下载安装最新版Edge浏览器

    这个题目看起来可能有点奇怪,不过最近这段时间, 在一个刚安装完的Windows计算机上,确实是一个需要解决的问题.2020年8月中旬,微软宣布:一年之后,Microsoft 365 应用与服务将不再支 ...

  2. NB-IoT应用分类与技术特点分析

      NB-Iot作为一种窄带物联网技术在各大行业脱颖而出,其应用涵盖多个领域.此文计讯小编将讲解NB-IoT的主要应用分类及相关特点.   一.NB-IoT是什么   NB-IoT是指窄带物联网(Na ...

  3. Linux 系统编程 学习:008-基于socket的网络编程3:基于 TCP 的通信

    背景 上一讲我们介绍了 基于UDP 的通信 这一讲我们来看 TCP 通信. 知识 TCP(Transmission Control Protoco 传输控制协议). TCP是一种面向广域网的通信协议, ...

  4. python使用matplotlib画图,jieba分词、词云、selenuium、图片、音频、视频、文字识别、人脸识别

    一.使用matplotlib画图 关注公众号"轻松学编程"了解更多. 使用matplotlib画柱形图 import matplotlib from matplotlib impo ...

  5. 【jmeter】实现接口关联的两种方式:正则表达式提取器和json提取器

    关联通俗来讲就是把上一次请求的返回内容中的部分截取出来保存为参数,用来传递给下一个请求使用. 示例: 1.用户密码进行登录,登录后生成authentication 2.需要将登录接口响应结果中auth ...

  6. iptables基础原理和使用简介

    概念简介 名称 Netfilter/iptables模块有两部分组成: Netfilter框架以及iptables,iptables又分为iptables(内核空间)和iptables命令行工具(用户 ...

  7. 修改redo log 的大小

    alert日志中含有大量警告信息:"Thread 1 cannot allocate new log, sequence 320xx Checkpoint not complete" ...

  8. 【原创】ARM平台内存和cache对xenomai实时性的影响

    目录 1. 问题概述 2. stress 内存压力原理 2. cache 因素 2.1 未加压 2.2 加压(cpu/io) 3. 内存管理因素 3.1 内存分配/释放 3.2 MMU拥塞 4 总结 ...

  9. Java读取Excel报错Unable to recognize OLE stream

    Unable to recognize OLE stream 的解决方法 将xlsx用excel打开并另存为2003的xls,然后再运行即可解决问题 File file = new File(&quo ...

  10. spark内存管理这一篇就够了

    1. 堆内和堆外内存规划 1.1 堆内内存 堆内内存的大小,由 Spark 应用程序启动时的 –executor-memory 或 spark.executor.memory 参数配置.Executo ...