轉載於:https://www.cnblogs.com/ndash/p/suy.html
以DD鏡像制造為例,詳細介紹了FTK Imager創建鏡像的過程,記得大學的時候學習這些沒什么教程,找到的資料也是語焉不詳,故在此啰嗦一番---【suy】
一、磁盤鏡像制作步驟
(一)選擇源證據類型
1、路徑:文件(F)->創建磁盤映像(C)->選擇源->物理驅動器(P)
(二)選擇需要做的磁盤
(三)選擇鏡像類型
(四)填寫案件信息(可選)
(五)設置鏡像參數!
1、鏡像保存位置、鏡像名
3、加密設置(可選)
4、鏡像驗證設置(可選)
5、鏡像制作完成
二、證據信息記錄
(一)目錄列表
一、磁盤鏡像制作步驟
Raw(dd)制作的后綴默認是“.001”。
(一)選擇源證據類型
1、路徑:文件(F)->創建磁盤映像(C)->選擇源->物理驅動器(P)
1)物理驅動器(P)
整個驅動器,如:識別到的是整塊硬盤、U盤等,而不管你分幾個分區;
2)邏輯驅動器(L)
分區,如:一塊硬盤分C盤、D盤等;
3)映像文件(I)
鏡像文件,如:DD、E01等鏡像文件;
4)文件夾內容(F)
文件夾,就是可對文件夾做出鏡像;
5)Fernico設備(多個CD/DVD)(D)
對光盤做鏡像;
(二)選擇需要做的磁盤
通過源驅動選擇,可在選項處下拉,找到需要做鏡像的驅動器,點擊完成;此處以30GB的SanDisk U盤作鏡像測試。
三)選擇鏡像類型
考慮取證時間和存儲容量成本,一般建議制作E01鏡像,這里以DD鏡像來演示,其他類推。
DD是不壓縮的原始鏡像格式,原始硬盤多大,它做出來的鏡像就多大;E01是壓縮格式。
四)填寫案件信息(可選)
案件編號、證據編號、唯一描述、檢查員、備注(全部都是非必填項);
(五)設置鏡像參數!
1、鏡像保存位置、鏡像名
選擇鏡像存儲位置、自定義鏡像名;
2、是否分卷!!!
這是比較容易忽略的地方,不想鏡像分卷的記得在此處填寫”0“!!!
FTK Imager默認鏡像分卷大小為1500MB;
RAW鏡像、E01和AFF填:0=不分卷;
默認分卷
3、加密設置(可選)
對鏡像進行加密,密碼自行設置。
4、鏡像驗證設置(可選)
勾選”創建后驗證映像(V)“,校驗比對鏡像的哈希值;
勾選“預計算進度統計數據(P)“,可實時顯示鏡像制作的進度;
勾選”為映像中所有已創建的文件創建目錄列表(D)“,為鏡像中的所有已創建到的文件新建一個目錄列表文檔,方便查看;
開始制作鏡像、勾選預計算進度統計數據后可實時顯示鏡像制作的進度。
5、鏡像制作完成
二、證據信息記錄
(一)目錄列表
顯示鏡像中所有文件,包括文件名、文件路徑、文件大小、時間、刪除狀態等。
