Analizējiet diska attēlu, izmantojot FTK Imager

Satura rādītājs

FTK attēlveidotājs, tā ir programmatūra, ko izmanto, lai izveidotu diska attēlu failus vai uzstādītu diska attēlus vai atmiņas ierīces, un tad mēs varam veikt diska struktūras analīze, datu atgūšanautt. Šī programmatūra ļauj atrodiet zaudētos failus vai meklējiet datus, skenējot diska attēlu izmantojot atslēgvārdus.

Izmantojot programmatūru, tiek iegūts vai izveidots attēls no cietais disks formāta failā:

  • dd
  • img
  • ed01
  • neapstrādāts

Mēs varam izveidot attēlu ar diska daļām vai ar visu nodalījumu, kuru vēlāk var atjaunot.

Viena no priekšrocībām ir tā, ka attēla uzņemšanas beigās programmatūra aprēķina un ģenerē MD5 jaukšanas atslēgu, kas tiks izmantota, lai apstiprinātu datu integritāti un ka mūsu izveidotais attēls nav mainīts, jo ir veiktas minimālas izmaiņas. attēla failā tas mainīs drošības kodu un neatbilst oriģinālam.

FTK Imager plaši izmanto tiesu medicīnas eksperti jo tas ļauj iegūt datus no ierīces, izveidot datu attēlu un pēc tam novērtēt digitālos pierādījumus, lai noteiktu, vai ir nepieciešama detalizētāka analīze.

FTK Imager ļauj veikt dažādus uzdevumus, daži no tiem ir šādi:

  • Izveidojiet cieto disku tiesu medicīnas attēlus vietējie, loģiskie diski, attālās atmiņas ierīces, mobilās ierīces, zibatmiņas diski, Zip diski, kompaktdiski un DVD, visas mapes vai atsevišķi faili no dažādām vietām.
  • Mēs arī varam priekšskatīt un iegūt saturu no tiesu medicīnas attēliem saglabāts lokālajā datorā vai tīkla diskā.
  • FTK Imager arī ļauj mums eksportēt failus un mapes, lai tos apstrādātu atsevišķi, apskatīt un atgūt failus, kas ir izdzēsti no diska vai no atkritnes, bet vēl nav pārrakstīti diskdzinī.
  • Izveidojiet MD5 un SHA-1 jaucējkrānus, lai nodrošinātu un saglabātu failu un mūsu radītā attēla integritāti. Mēs izveidojam attēlu, kā redzējām apmācībā Cietie diski un nodalījumi Kriminālistika ar autopsiju. Mēs varam arī izmantot to pašu FTK Imager, lai izveidotu atmiņas ierīces attēlu.

Attēls ir visas atmiņas ierīces vai tās daļas kopija, lai novērstu nejaušu vai apzinātu datu glabāšanas ierīcē pārveidošanu, FTK Imager izveido attēlu, kopējot pa gabalu, iegūtais attēls failā ir identisks ierīces sākotnējai struktūrai, ieskaitot vietu, vienības konfigurāciju un visus failus, kas satur ierīci, pat ja tā bija īslaicīga. Tas ļauj šos datus uzglabāt drošā vietā vēlākai izmeklēšanai, izmantojot ierīces attēlu.

Pēc instalētāja lejupielādes no AccessData oficiālās vietnes un turpinot instalēt programmu, kas darbojas tikai sistēmā Windows.

Izveidojiet ierīces attēlu


Mēs varam izveidot attēlu ar to pašu programmatūru no opcijas Izveidojiet diska attēlu.

No Linux mēs varam izmantot dd komanda lai izveidotu konkrēta diska vai mapes attēlu, rīkojieties šādi:

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Kad attēls ir izveidots no FTK Imager, izvēlnē jāpievieno pierādījumu fails Fails, pievienojiet pierādījumus.

Šajā apmācībā mums būs attēls, kas pieder zibatmiņai.

Tālāk mums jānorāda, kāda veida vienībai attēls pieder, ja tā ir fiziska vienība, loģiska vienība vai attēla fails, šajā gadījumā mēs izvēlamies attēla failu un noklikšķiniet uz Nākamais.

Tad mēs redzēsim attēlu un varēsim pārvietoties tā direktorijos un failos, zināt tā īpašības, kādu operētājsistēmu tas bija instalējis.

Tad mēs varam analizēt virtuālo disku kā fizisku disku, tādā veidā var redzēt vai atgūt visu tajā esošo, ieskaitot izdzēstos failus.

Piemērā mēs varam redzēt, kā mēs varam atgūt dažus izklājlapu failus. Mēs pat varam uzstādīt ierīci no opcijas Fails> Pievienot attēlu, pēc uzstādīšanas attēls būs kā vēl viens disks.

Šeit mēs redzam, ka, uzstādot ierīci, tā tiek parādīta diskdzinī F:, tagad mums tas ir pieejams kā virtuālais diskdzinis, un mēs varam izmantot tādu programmatūru kā PhotoRec (jums tas ir šī raksta 7. pozīcijā), kuru mēs varam lejupielādēt no savas vietnes amatpersonas, lai atgūtu izdzēstos failus.

PhotoREc Tas ir ļoti vienkārši lietojams, tam nav nepieciešama instalēšana, mums vienkārši jānorāda, kuru disku vai nodalījumu mēs vēlamies atgūt.

Šeit mēs redzam, ka parādās mūsu virtuālais disks F: ar diska attēla saturu. Mēs izvēlamies vienību un pēc tam zemāk mēs norādām, kurā direktorijā atgūtie faili tiks nokopēti pēc noklusējuma recup_dir.

Mēs varam redzēt no mūsu izveidotā virtuālā diska atgūto failu paplašinājumus, šis atgūtais direktorijs ir fizisks, tas nav virtuāls vai loģisks, tāpēc faili mūsu rīcībā būs pastāvīgi. Šī programmatūra ir arī atkopusi exe failus, tāpēc mēs varētu tos analizēt, lai noskaidrotu, vai kāda no tām ir vīruss vai sistēmai bīstama programmatūra, tāpēc labāk ir veikt šāda veida analīzi virtuālā mašīna, piemēram, VirtualBox.

wave wave wave wave wave