簡介:
在學習autopsy之前,我們先學習如何將犯罪嫌疑人的磁盤保存為一個證據鏡像。我們使用的將磁盤保存為證據鏡像的工具為AccessData FTK imager,你可以自行搜索下載。
AccessData FTK imager的使用:
FTK imager已經安裝好了,現在我們模擬將本地C盤保存為鏡像,以供后面使用autopsy進行分析取證。
第一步,創建一個磁盤鏡像:
第二步,選擇需要鏡像的內容,這里我選擇邏輯驅動器,根據自己實際情況而定:
第三步,指定鏡像保存的格式,dd為原始文件E01為證據鏡像通用格式,我選擇使用E01:
以下是該項目的信息,由於我們只是進行學習,就不填寫了。
第四步,指定鏡像保存的位置:
指定鏡像保存到G盤下,鏡像名稱命名為“證據”。
注意:我們不能將鏡像保存到C盤,因為我們正在鏡像C盤。
一切准備就緒,點擊start即可將C盤保存為鏡像:
你應該學會如何對犯罪嫌疑人的磁盤進行證據保存了吧,點擊start等待一段時間之后鏡像就制作完畢了,FTK imager保存磁盤鏡像介紹到這里就結束了。
