以DD鏡像制造為例,詳細介紹了FTK Imager創建鏡像的過程,記得大學的時候學習這些沒什么教程,找到的資料也是語焉不詳,故在此啰嗦一番---【suy】
一、磁盤鏡像制作步驟
Raw(dd)制作的后綴默認是“.001”。
(一)選擇源證據類型
1、路徑:文件(F)->創建磁盤映像(C)->選擇源->物理驅動器(P)
1)物理驅動器(P)
整個驅動器,如:識別到的是整塊硬盤、U盤等,而不管你分幾個分區;
2)邏輯驅動器(L)
分區,如:一塊硬盤分C盤、D盤等;
3)映像文件(I)
鏡像文件,如:DD、E01等鏡像文件;
4)文件夾內容(F)
文件夾,就是可對文件夾做出鏡像;
5)Fernico設備(多個CD/DVD)(D)
對光盤做鏡像;
(二)選擇需要做的磁盤
通過源驅動選擇,可在選項處下拉,找到需要做鏡像的驅動器,點擊完成;此處以30GB的SanDisk U盤作鏡像測試。
(三)選擇鏡像類型
考慮取證時間和存儲容量成本,一般建議制作E01鏡像,這里以DD鏡像來演示,其他類推。
DD是不壓縮的原始鏡像格式,原始硬盤多大,它做出來的鏡像就多大;E01是壓縮格式。
(四)填寫案件信息(可選)
案件編號、證據編號、唯一描述、檢查員、備注(全部都是非必填項);
(五)設置鏡像參數!
1、鏡像保存位置、鏡像名
選擇鏡像存儲位置、自定義鏡像名;
2、是否分卷!!!
這是比較容易忽略的地方,不想鏡像分卷的記得在此處填寫”0“!!!
FTK Imager默認鏡像分卷大小為1500MB;
RAW鏡像、E01和AFF填:0=不分卷;
默認分卷
不分卷
3、加密設置(可選)
對鏡像進行加密,密碼自行設置。
4、鏡像驗證設置(可選)
勾選”創建后驗證映像(V)“,校驗比對鏡像的哈希值;
勾選“預計算進度統計數據(P)“,可實時顯示鏡像制作的進度;
勾選”為映像中所有已創建的文件創建目錄列表(D)“,為鏡像中的所有已創建到的文件新建一個目錄列表文檔,方便查看;
開始制作鏡像、勾選預計算進度統計數據后可實時顯示鏡像制作的進度。
5、鏡像制作完成
二、證據信息記錄
(一)目錄列表
顯示鏡像中所有文件,包括文件名、文件路徑、文件大小、時間、刪除狀態等。
(二)記錄文本
文本翻譯
創建時間 AccessData® FTK® Imager 4.5.0.3
案件信息:
采集方式: ADI4.5.0.3
案例編號: NDASH
證據編號: NDASH
唯一性描述: NDASH
檢查員: suy
注釋: NDASH
---------------------------------------
Information for E:\NDASH\NDASH: //鏡像保存位置
Physical Evidentiary Item (Source) Information: //物理證據項目(源)信息:
[Device Info] //設備信息
Source Type: Physical // [源類型:物理驅動器]
[驅動器幾何參數]
柱面數: 3,740
每柱面磁道數: 255
每磁道扇區數: 63
每扇區字節數: 512
扇區數: 60,088,320
[物理驅動器信息]
驅動器型號: SanDisk Cruzer Blade USB Device
驅動器序列號\n
制造商的驅動器序列號: 4C530000050507222113
驅動器接口類型\n
連接驅動器的接口: USB
Removable drive: 正確 //可移動驅動器
Source data size: 29340 MB //源數據的大小
Sector count: 60088320 //扇區統計、扇區數
[Computed Hashes] //計算散列值
MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20 //MD5校驗和
SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c //SHA1校驗和
Image Information: //鏡像信息
Acquisition started: Thu Nov 26 17:24:03 2020 //制作開始時間
Acquisition finished: Thu Nov 26 17:44:22 2020 //制作完成時間
Segment list: //分卷列表
E:\NDASH\NDASH.001
E:\NDASH\NDASH.002
E:\NDASH\NDASH.003
E:\NDASH\NDASH.004
E:\NDASH\NDASH.005
E:\NDASH\NDASH.006
E:\NDASH\NDASH.007
E:\NDASH\NDASH.008
E:\NDASH\NDASH.009
E:\NDASH\NDASH.010
E:\NDASH\NDASH.011
E:\NDASH\NDASH.012
E:\NDASH\NDASH.013
E:\NDASH\NDASH.014
E:\NDASH\NDASH.015
E:\NDASH\NDASH.016
E:\NDASH\NDASH.017
E:\NDASH\NDASH.018
E:\NDASH\NDASH.019
E:\NDASH\NDASH.020
Image Verification Results: //鏡像驗證結果
Verification started: Thu Nov 26 17:44:24 2020 //驗證開始時間
Verification finished: Thu Nov 26 17:46:10 2020 //驗證完成時間
MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校驗和
SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified //SHA1校驗和
總結
主要默認分卷這步容易被忽略,還有后面文本翻譯的可能不夠准確,見諒!
| 名稱 | 時間 |
|---|---|
| 開始編制日期: | 2020 年 11 月 26 日 |
| 最后編輯日期: | 2020 年 11 月 26 日 |