учебные пособия

Анализировать образ диска с помощью FTK Imager

  Дата публикации: May/2024
{title}

FTK Imager - это программное обеспечение, используемое для создания файлов образов дисков или монтирования образов дисков или устройств хранения, а затем мы можем выполнять анализ структуры диска, восстанавливать данные и т. Д. Это программное обеспечение позволяет находить потерянные файлы или искать данные путем сканирования образа диска по ключевым словам.

Используя программное обеспечение, вы получаете или создаете образ жесткого диска в формате файла :

  • дд
  • IMG
  • ED01
  • сырье

Мы можем создать образ с частями диска или со всем разделом, который впоследствии можно будет восстановить.

{title}

Одним из преимуществ является то, что в конце захвата изображения программное обеспечение вычисляет и генерирует хеш-ключ MD5, который будет использоваться для подтверждения целостности данных, и что созданное нами изображение не было изменено, поскольку любые минимальные изменения в файле изображения он изменит код безопасности и не будет соответствовать оригиналу.

FTK Imager широко используется экспертами-криминалистами, так как позволяет собирать данные с устройства, создавать изображение с данными, а затем оценивать цифровые свидетельства для определения необходимости более детального анализа.

FTK Imager позволяет выполнять различные задачи, некоторые из них следующие:

  • Создавайте криминалистические образы локальных жестких дисков, логических дисков, удаленных устройств хранения, мобильных устройств, флэш-памяти, Zip-дисков, CD и DVD-дисков, полных папок или отдельных файлов из разных мест.
  • Мы также можем просматривать и извлекать содержимое судебно-медицинских изображений, хранящихся на локальном компьютере или сетевом диске.
  • FTK Imager также позволяет нам экспортировать файлы и папки, обрабатывать их индивидуально, просматривать и восстанавливать файлы, которые были стерты с диска или из корзины, но еще не были перезаписаны в устройстве.
  • Создайте хэши MD5 и SHA-1, чтобы обеспечить и сохранить целостность файлов и изображений, которые мы генерируем . Мы создали образ, как мы увидели в учебнике «Криминалистический анализ жестких дисков и разделов с помощью Autopsy». Мы также можем использовать тот же FTK Imager для создания образа устройства хранения.

Изображение является копией всего или части запоминающего устройства, чтобы предотвратить случайное или преднамеренное изменение данных, которые существуют в запоминающем устройстве. FTK Imager создает изображение, копируя по крупицам, результирующее изображение в файле, идентичны исходной структуре устройства, включая пространство, конфигурацию устройства и любой файл, содержащий устройство, даже если оно было временным. Это позволяет хранить эти данные в безопасном месте, а затем проводить расследование с использованием образа устройства.

После загрузки установщика с официального сайта AccessData и приступите к установке программы, которая работает только на Windows.

Создать образ устройства


Мы можем создать образ с помощью того же программного обеспечения из опции Создать образ диска .

{title}

В Linux мы можем использовать команду dd для создания образа определенного диска или папки следующим образом: 

 sudo dd if = / dev / partition of = / home / myuser / copy.dd file
Когда у нас есть изображение, созданное с помощью FTK Imager, мы должны добавить файл улик в меню « Файл» «Добавить свидетельство» .

Для этого урока у нас будет изображение, принадлежащее флэш-памяти.

{title}

Далее мы должны указать, к какому типу единиц измерения относится изображение, если оно представляет собой физическую единицу, логическую единицу или файл изображения, в этом случае мы выбираем файл изображения и нажимаем Далее .

Затем мы увидим изображение и сможем перемещаться по его каталогам и файлам, узнавать его функции, которые установила операционная система.

{title}

Затем мы можем проанализировать виртуальный диск как физический диск, таким образом, все, что содержится, даже удаленные файлы, можно просматривать или восстанавливать.

В примере мы можем увидеть, как мы можем восстановить некоторые файлы электронных таблиц. Мы даже можем смонтировать устройство из опции File> Mount Image, после монтирования образ будет похож на еще один дисковод.

{title}

Здесь мы можем видеть, что при монтаже устройства оно появляется на диске F: теперь у нас есть его в качестве виртуального диска, и мы можем использовать программное обеспечение, такое как PhotoRec (оно у вас в позиции 7 этой статьи), которое мы можем загрузить с его веб-сайта. Официально восстановить удаленные файлы.

$config[ads_text5] not found

PhotoREc очень прост в использовании, не требует установки, мы просто должны указать, какой диск или раздел мы хотим восстановить.

{title}

Здесь мы видим, что наш виртуальный диск F: появляется с содержимым образа диска. Мы выбираем диск и затем ниже указываем, в какой каталог восстановленные файлы будут скопированы, по умолчанию это будет recup_dir .

{title}

Мы можем видеть расширения файлов, восстановленных с виртуального диска, который мы создали, этот восстановленный каталог является физическим, а не виртуальным или логическим, поэтому мы будем иметь файлы в нашем распоряжении на постоянной основе. Это программное обеспечение также восстановило исполняемые файлы, поэтому мы могли проанализировать их, чтобы определить, является ли какое-либо из них вирусом или опасным программным обеспечением для системы, поэтому лучше проводить анализ такого типа на виртуальной машине, такой как VirtualBox .

$config[ads_text6] not found

СТАТЬЯ ПО ТЕМЕ Как включить распознавание голоса в Windows 10