电子数据取证必备工具系列之磁盘镜像工具-FTK Imager
一.FTK的主要功能 证据获取 镜像文件挂载 文件查看及提取 。。。 二.证据获取 FTK image支持获取的获取的数据来源类型 物理磁盘 逻辑驱动器 镜像文件(E01、DD、smart、vmdk、gho、nero ...
原文:数字取证autopsy系列——保存证据镜像(一)
简介: 在学习autopsy之前,我们先学习如何将犯罪嫌疑人的磁盘保存为一个证据镜像。我们使用的将磁盘保存为证据镜像的工具为AccessData FTK imager,你可以自行搜索下载。 AccessData FTK imager的使用: FTK imager已经安装好了,现在我们模拟将本地C盘保存为镜像,以供后面使用autopsy进行分析取证。 第一步,创建一个磁盘镜像: 第二步,选择需要镜像 ...
2020-11-15 18:56 0 365 推荐指数:
相关推荐
电子数据取证必备工具系列之磁盘镜像工具-FTK Imager
二、证据获取 三、证据获取-物理镜像 四、证据获取-内存镜像 五、哈希计算-驱动器/镜像 ...
Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内存的取证技术中的活取证。 工具地址: https://github.com ...
使用Python进行数字取证调查
在注册表中分析无线访问热点 以管理员权限开启cmd,输入如下命令来列出每个网络显示出profile Guid对网络的描述、网络名和网关的MAC地址 使用WinReg读取Wind ...
Docker系列学习(二)——查看,启动,退出,保存镜像的方法
docker是我最近工程开发上急需使用的一个开发工具,但是由于本人“深入沉浸”windows系统,并且对于Linux系统不太熟悉,所以学习docker很多困难,因此用这个博客来记录一下很简单的do ...
【电子取证:镜像仿真篇】Windows Server镜像仿真、vmdk镜像仿真
Windows Server镜像仿真、vmdk镜像仿真 时间过得真快呀!--【suy999】 Windows Server镜像仿真、vmdk镜像仿真 一、qemu-img镜像转换工具 (一)raw、qcow2等镜像装换为vmdk 1、RAW镜像转换命令 ...
Docker 本地导入镜像/保存镜像/载入镜像/删除镜像
1、Docker导入本地镜像 有时候我们自己在本地或者其它小伙伴电脑上拷贝了一份镜像,有了这个镜像之后,我们可以把本地的镜像导入,使用docker import 命令。 例如这里下载了一个 alibaba-rocketmq-3.2.6.tar.gz 镜像文件,使用下列命令导入 ...
【计算机取证篇】镜像挂载利器-Arsenal Image Mounter
Arsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中。---【suy】 一、Arsenal ...