转载于:https://www.cnblogs.com/ndash/p/suy.html
以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---【suy】
一、磁盘镜像制作步骤
(一)选择源证据类型
1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)
(二)选择需要做的磁盘
(三)选择镜像类型
(四)填写案件信息(可选)
(五)设置镜像参数!
1、镜像保存位置、镜像名
3、加密设置(可选)
4、镜像验证设置(可选)
5、镜像制作完成
二、证据信息记录
(一)目录列表
一、磁盘镜像制作步骤
Raw(dd)制作的后缀默认是“.001”。
(一)选择源证据类型
1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)
1)物理驱动器(P)
整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
2)逻辑驱动器(L)
分区,如:一块硬盘分C盘、D盘等;
3)映像文件(I)
镜像文件,如:DD、E01等镜像文件;
4)文件夹内容(F)
文件夹,就是可对文件夹做出镜像;
5)Fernico设备(多个CD/DVD)(D)
对光盘做镜像;
(二)选择需要做的磁盘
通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。
三)选择镜像类型
考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。
DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。
四)填写案件信息(可选)
案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);
(五)设置镜像参数!
1、镜像保存位置、镜像名
选择镜像存储位置、自定义镜像名;
2、是否分卷!!!
这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!
FTK Imager默认镜像分卷大小为1500MB;
RAW镜像、E01和AFF填:0=不分卷;
默认分卷
3、加密设置(可选)
对镜像进行加密,密码自行设置。
4、镜像验证设置(可选)
勾选”创建后验证映像(V)“,校验比对镜像的哈希值;
勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;
勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;
开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。
5、镜像制作完成
二、证据信息记录
(一)目录列表
显示镜像中所有文件,包括文件名、文件路径、文件大小、时间、删除状态等。
