Analyser diskbilde med FTK Imager

Analyser diskbilde med FTK Imager
Innholdsfortegnelse

FTK Imager, det er programvare som brukes til å lage diskavbildningsfiler eller montere diskbilder eller lagringsenheter, og så kan vi utføre diskstrukturanalyse, datagjenoppretting, etc. Denne programvaren tillater Finn tapte filer eller søk etter data ved å skanne diskbilde ved å bruke søkeord.

Ved hjelp av programvaren oppnås eller opprettes et bilde av en harddisk i en formatfil:

  • dd
  • img
  • ed01

Vi kan lage et bilde med deler av disken eller med hele partisjonen som senere kan gjenoppbygges.

En av fordelene er at på slutten av bildeopptaket, beregner og genererer programvaren en MD5 -nøkkel som vil bli brukt til å bekrefte integriteten til dataene, og at bildet vi har opprettet ikke har blitt endret siden minimale endringer i bildefilen vil den endre sikkerhetskoden, og den vil ikke matche originalen.

FTK Imager er mye brukt av rettsmedisinske dataeksperter ettersom det lar deg fange data fra en enhet, lage et bilde av dataene og deretter evaluere det digitale beviset for å avgjøre om en mer detaljert analyse er berettiget.

FTK Imager lar deg utføre forskjellige oppgaver, noen av dem er følgende:

  • Lag rettsmedisinske bilder av harddisker lokale, logiske disker, eksterne lagringsenheter, mobile enheter, flash -stasjoner, zip -disker, CDer og DVDer, hele mapper eller individuelle filer fra forskjellige steder.
  • Vi kan også forhåndsvise og trekke ut innhold fra rettsmedisinske bilder lagret på en lokal datamaskin eller på en nettverksstasjon.
  • FTK Imager lar oss også eksportere filer og mapper for å behandle dem individuelt, se og gjenopprette filer som er slettet fra disken eller fra en papirkurv, men som ennå ikke er overskrevet på stasjonen.
  • Lag MD5- og SHA-1-hash for å sikre og bevare integriteten til filer og bildet vi genererer. Vi lager et bilde som vi så i opplæringen Hard Drives and Partitions Forensics with Autopsy. Vi kan også bruke den samme FTK Imager til å lage et bilde av en lagringsenhet.

Et bilde er en kopi av hele eller deler av lagringsenheten for å forhindre utilsiktet eller forsettlig endring av dataene som finnes på lagringsenheten, FTK Imager lager et bilde ved å kopiere bit for bit, det resulterende bildet i en fil, er identisk med enhetens opprinnelige struktur, inkludert plass, konfigurasjon av enheten og alle filer som inneholder enheten, selv om den var midlertidig. Dette gjør at disse dataene kan lagres på et trygt sted for senere undersøkelser ved hjelp av bildet av enheten.

Etter å ha lastet ned installasjonsprogrammet fra det offisielle nettstedet til AccessData og fortsett med installasjonen av programmet som bare fungerer på Windows.

Lag et bilde av en enhet


Vi kan lage bildet med den samme programvaren fra alternativet Lag diskbilde.

Fra Linux kan vi bruke kommando dd for å lage et bilde av en bestemt stasjon eller mappe, som følger: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Når vi har bildet opprettet fra FTK Imager, må vi legge til bevisfilen fra menyen Fil, legg til bevis.

For denne opplæringen vil vi ha et bilde som tilhører et flash -minne.

Deretter må vi angi hvilken type enhet bildet tilhører, hvis det er en fysisk enhet, logisk enhet eller bildefil, i dette tilfellet velger vi bildefil og klikker på Neste.

Så vil vi se bildet, og vi vil kunne navigere i dets kataloger og filer, kjenne dens egenskaper, hvilket operativsystem det hadde installert.

Deretter kan vi analysere den virtuelle disken som en fysisk disk, på denne måten kan alt den inneholder, inkludert slettede filer, sees eller gjenopprettes.

I eksemplet kan vi se hvordan vi kan gjenopprette noen regnearkfiler. Vi kan til og med montere enheten fra alternativet Fil> Monter bildeNår bildet er montert vil det være som en diskett til.

Her kan vi se at når du monterer enheten, vises den i stasjon F:, nå har vi den tilgjengelig som en virtuell diskstasjon, og vi kan bruke programvare som PhotoRec (Du har den i posisjon 7 i denne artikkelen), som vi kan laste ned fra nettstedets offisielle for å gjenopprette slettede filer.

PhotoREc Det er veldig enkelt å bruke, det trenger ikke installasjon, vi må bare angi hvilken stasjon eller partisjon vi vil gjenopprette.

Her kan vi se at vår virtuelle stasjon F: vises med innholdet i diskbildet. Vi velger enheten, og nedenfor angir vi i hvilken katalog de gjenopprettede filene som standard vil bli kopiert recup_dir.

Vi kan se filtypene som er gjenopprettet fra den virtuelle stasjonen vi opprettet, denne gjenopprettede katalogen er fysisk, den er ikke virtuell eller logisk, så vi vil ha filene til disposisjon permanent. Denne programvaren har også gjenopprettet exe -filer, så vi kan analysere dem for å se om det er virus eller farlig programvare for systemet, så det er bedre å kjøre denne typen analyse i en virtuell maskin som VirtualBox.

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Aktiver romlig lyd i hodetelefoner eller Windows 10 hjemmekino
2
post-title
Slik sletter du informasjonskapsler fra et bestemt nettsted i Firefox Quantum
3
post-title
Seo -teknikker - De små detaljene du må ta hensyn til ved posisjonering
4
post-title
Oppdater Windows 10 Anniversary gratis Microsoft Insider
5
post-title
▷ Hvordan få prosentandelen i Excel ✔️ tabell eller kolonne 2021

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -