FTK Imager制作镜像详细介绍

以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】

一、磁盘镜像制作步骤

Raw(dd)制作的后缀默认是“.001”。

(一)选择源证据类型

1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)

 1)物理驱动器(P)
     整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
 2)逻辑驱动器(L)
     分区,如:一块硬盘分C盘、D盘等;
 3)映像文件(I)
     镜像文件,如:DD、E01等镜像文件;
 4)文件夹内容(F)
     文件夹,就是可对文件夹做出镜像;
 5)Fernico设备(多个CD/DVD)(D)
     对光盘做镜像;

(二)选择需要做的磁盘

通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。

(三)选择镜像类型

考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。

 DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

(四)填写案件信息(可选)

案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);

(五)设置镜像参数!

1、镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名;

2、是否分卷!!!

这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!

 FTK Imager默认镜像分卷大小为1500MB;
 RAW镜像、E01和AFF填:0=不分卷;

默认分卷

不分卷

3、加密设置(可选)

对镜像进行加密,密码自行设置。

4、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

5、镜像制作完成

二、证据信息记录

(一)目录列表

显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。

(二)记录文本

文本翻译

 创建时间 AccessData FTK Imager 4.5.0.3 
 案件信息: 
 采集方式: ADI4.5.0.3
 案例编号: NDASH
 证据编号: NDASH
 唯一性描述: NDASH
 检查员: suy
 注释: NDASH
 ---------------------------------------
 Information for E:\NDASH\NDASH:     //镜像保存位置
 Physical Evidentiary Item (Source) Information:     //物理证据项目(源)信息:
 [Device Info]       //设备信息
  Source Type: Physical      // [源类型:物理驱动器]
 [驱动器几何参数]
  柱面数: 3,740
  每柱面磁道数: 255
  每磁道扇区数: 63
  每扇区字节数: 512
  扇区数: 60,088,320
 [物理驱动器信息]
  驱动器型号: SanDisk Cruzer Blade USB Device
  驱动器序列号\n
  制造商的驱动器序列号: 4C530000050507222113
  驱动器接口类型\n
  连接驱动器的接口: USB
  Removable drive: 正确        //可移动驱动器
  Source data size: 29340 MB     //源数据的大小
  Sector count: 60088320     //扇区统计、扇区数
 [Computed Hashes]       //计算散列值
  MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20     //MD5校验和
  SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c        //SHA1校验和
 ​
 Image Information:      //镜像信息
  Acquisition started:   Thu Nov 26 17:24:03 2020        //制作开始时间
  Acquisition finished:  Thu Nov 26 17:44:22 2020        //制作完成时间
  Segment list:      //分卷列表
   E:\NDASH\NDASH.001
   E:\NDASH\NDASH.002
   E:\NDASH\NDASH.003
   E:\NDASH\NDASH.004
   E:\NDASH\NDASH.005
   E:\NDASH\NDASH.006
   E:\NDASH\NDASH.007
   E:\NDASH\NDASH.008
   E:\NDASH\NDASH.009
   E:\NDASH\NDASH.010
   E:\NDASH\NDASH.011
   E:\NDASH\NDASH.012
   E:\NDASH\NDASH.013
   E:\NDASH\NDASH.014
   E:\NDASH\NDASH.015
   E:\NDASH\NDASH.016
   E:\NDASH\NDASH.017
   E:\NDASH\NDASH.018
   E:\NDASH\NDASH.019
   E:\NDASH\NDASH.020
 ​
 Image Verification Results:     //镜像验证结果
  Verification started: Thu Nov 26 17:44:24 2020     //验证开始时间
  Verification finished: Thu Nov 26 17:46:10 2020        //验证完成时间
  MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified        //MD5校验和
  SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified       //SHA1校验和

总结

主要默认分卷这步容易被忽略,还有后面文本翻译的可能不够准确,见谅!

名称 时间
开始编制日期: 2020 年 11 月 26 日
最后编辑日期: 2020 年 11 月 26 日

------------恢复内容结束------------

【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍的更多相关文章

  1. 这篇文章主要为大家详细介绍了jQuery密码强度验证控件使用详解的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    本文实例为大家分享了jQuery密码强度验证控件,供大家参考,具体内容如下 <html>   <head>     <meta http-equiv="Cont ...

  2. 【电子取证:FTK Imager篇】DD、E01系统镜像仿真

    星河滚烫,人生有理想! ​ ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...

  3. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  4. Docker系列06—基于容器制作镜像并上传到Docker Registry

    本文收录在容器技术学习系列文章总目录 1.制作镜像 1.1 镜像的生成途径 基于容器制作 dockerfile,docker build 本篇主要详细讲解基于容器制作镜像:基于dockerfile 制 ...

  5. BeagleBone Black的内核移植-从零开始制作镜像

    很多年前做的针对BeagleBone Black开发板的镜像制作,因为当时涉及到非标准化的,所以把基本的kernel.uboot和跟文件系统rootfs都做了一遍,文中只做移植,不作定制化的修改. 如 ...

  6. 制作镜像文件工具packer

    openstack镜像制作要在openstack上创建虚拟机,必然要使用到虚拟机镜像. 对于普通用户,可以使用已经创建好的虚拟机镜像.一般是操作系统官方构建并提供的. 某些用户可以有自己独特的需求,需 ...

  7. Docker之commit制作镜像

    一.docker是什么? Docker是一个为开发人员和系统管理员提供分布式应用程序的开放平台.它是一个开源的容器引擎,基于Go语言并遵从Apche2.0协议开源. 功能:Docker可以让开发者打包 ...

  8. GitBook制作电子书详细教程(命令行版)

    GitBook 是一款基于 Node.js 开发的开源的工具,可以通过命令行的方式创建电子书项目,再使用 MarkDown 编写电子书内容,然后生成 PDF.ePub.mobi 格式的电子书,或生成一 ...

  9. iOS开发UI篇—iPad开发中得modal介绍

    iOS开发UI篇—iPad开发中得modal介绍 一.简单介绍 说明1: 在iPhone开发中,Modal是一种常见的切换控制器的方式 默认是从屏幕底部往上弹出,直到完全盖住后面的内容为止 说明2: ...

随机推荐

  1. BrowserSync 热更新的使用(保存后自动刷新)

    BrowserSync使用的优点,BrowserSync监听条件中的文件,发现更新会立刻刷新浏览器,就像 vue中的热更新一样,解放F5实现自动更新,提高开发效率, 解决了使用双屏幕时来回切换的烦恼! ...

  2. 【Flutter 混合开发】添加 Flutter 到 Android Activity

    Flutter 混合开发系列 包含如下: 嵌入原生View-Android 嵌入原生View-iOS 与原生通信-MethodChannel 与原生通信-BasicMessageChannel 与原生 ...

  3. 还在本地安装MySQL/RabbitMQ/MongoDB 吗 ? 或许你可以试试这个【附下载】

    我们经常在Windows开发的时候,需要在本地进行调试.当然也免不了安装数据库.消息队列 等一些开发软件.等什么时候我们重新安装了这边软件.如此的繁琐. 尤其是安装RabbitMQ 消息队列的时候,居 ...

  4. 想买保时捷的运维李先生学Java性能之 垃圾收集算法

    前言 从原来只知道-Xms.-Xmx是设置内存的,到现在稍微理解了一些堆内存等Java虚拟机的一些知识.明白了技术这一个东西还是得要有输入才能实践,原理与实践要相辅相成,后续把JVM的监控好好总结一下 ...

  5. 自动化运维Ansible-01-安装及简单的使用

    实验环境:Centos 7.x Ansible版本:ansible 2.9.13 服务端的操作 1.系统默认的yum仓库中没有找到ansible,这里我们先安装epel源(需要用到CentOS-Bas ...

  6. STM32入门系列-库帮助文档使用

    在前面文件夹介绍时,提到了stm32f10x_stdperiph_lib_um.chm文件,此文件是库函数使用帮助文档,可以直接打开如下图. 因为STM32库函数非常多,我们不可能把所有的外设函数都记 ...

  7. Java学习的第三十九天

    1.例3.7 100~200之间全部素数 package bgio; public class cjava { public static void main(String[]args) { int ...

  8. Lte Design Documentation之RRC

    RRC 特点 RRC模型在模拟器中提供以下功能 生成(在eNB中)和解释(在UE中)信息块(尤其是MIB和SIB1, SIB2) 初始化小区选择 RRC连接建立过程 RRC重新配置程序, 支持以下方式 ...

  9. 剑指Offer-Python(21-25)

    21.栈的压入和弹出序列 新建一个栈,将数组A压入栈中,当栈顶元素等于数组B时,就将其出栈,当循环结束时,判断栈是否为空,若为空则返回true. class Solution: def IsPopOr ...

  10. 070_GUI编程

    目录 简介 图形用户界面 Graphical User Interface,简称 GUI,又称图形用户接口 GUI核心技术:Swing AWT 不再流行的原因 为什么学习 AWT AWT(Abstra ...