FTK-Imager, es ist eine Software, die verwendet wird, um Disk-Image-Dateien zu erstellen oder Disk-Images oder Speichergeräte zu mounten, und dann können wir ausführen Analyse der Festplattenstruktur, Datenwiederherstellung, etc. Diese Software ermöglicht Lokalisieren Sie verlorene Dateien oder suchen Sie nach Daten, indem Sie das Disk-Image scannen Stichworte verwenden.
Mit der Software wird ein Bild von einem Festplatte in einer Formatdatei:
- dd
- img
- ed01
- roh
Wir können ein Image mit Teilen der Festplatte oder mit der gesamten Partition erstellen, das später neu erstellt werden kann.
Einer der Vorteile ist, dass die Software am Ende der Bildaufnahme einen MD5-Hash-Schlüssel berechnet und generiert, der verwendet wird, um die Integrität der Daten zu bestätigen, und dass das von uns erstellte Bild nicht verändert wurde, da minimale Änderungen vorhanden sind in der Bilddatei wird der Sicherheitscode geändert und er stimmt nicht mit dem Original überein.
FTK Imager wird häufig von Experten für forensische Computer verwendet da es Ihnen ermöglicht, Daten von einem Gerät zu erfassen, ein Bild der Daten zu erstellen und dann die digitalen Beweise auszuwerten, um festzustellen, ob eine detailliertere Analyse erforderlich ist.
Mit FTK Imager können Sie verschiedene Aufgaben ausführen, einige davon sind die folgenden:
- Erstellen Sie forensische Images von Festplatten lokale, logische Laufwerke, Remote-Speichergeräte, mobile Geräte, Flash-Laufwerke, Zip-Disketten, CDs und DVDs, ganze Ordner oder einzelne Dateien von verschiedenen Orten.
- Wir können auch Vorschau und Extrahieren von Inhalten aus forensischen Bildern auf einem lokalen Computer oder auf einem Netzlaufwerk gespeichert.
- Mit FTK Imager können wir auch Dateien und Ordner exportieren, um sie individuell zu behandeln, Dateien anzeigen und wiederherstellen, die von der Festplatte oder aus dem Papierkorb gelöscht, aber noch nicht auf dem Laufwerk überschrieben wurden.
- Erstellen Sie MD5- und SHA-1-Hashes, um die Integrität der Dateien und des von uns generierten Images sicherzustellen und zu bewahren. Wir erstellen ein Image, wie wir es im Tutorial Hard Drives and Partitions Forensics with Autopsy gesehen haben. Wir können den gleichen FTK Imager auch verwenden, um ein Image eines Speichergeräts zu erstellen.
Ein Bild ist eine Kopie des gesamten oder eines Teils des Speichergeräts, um eine versehentliche oder absichtliche Änderung der auf dem Speichergerät vorhandenen Daten zu verhindern. FTK Imager erstellt ein Bild, indem es Stück für Stück kopiert wird, das resultierende Bild in einer Datei, ist identisch mit der ursprünglichen Struktur des Geräts, einschließlich Speicherplatz, Konfiguration des Geräts und jeder Datei, die das Gerät enthält, selbst wenn es temporär war. Dadurch können diese Daten an einem sicheren Ort für eine spätere Untersuchung anhand des Abbilds des Geräts gespeichert werden.
Nachdem Sie das Installationsprogramm von der offiziellen Website von AccessData heruntergeladen und mit der Installation des Programms fortfahren, das nur unter Windows funktioniert.
Image eines Geräts erstellen
Wir können das Image mit der gleichen Software aus der Option erstellen Disk-Image erstellen.
Von Linux können wir die dd-Befehl So erstellen Sie ein Image eines bestimmten Laufwerks oder Ordners:
sudo dd if = / dev / partition of = / home / myuser / file copy.ddWenn wir das Bild von FTK Imager erstellt haben, müssen wir die Beweisdatei aus dem Menü hinzufügen Datei, Beweise hinzufügen.
Für dieses Tutorial haben wir ein Image, das zu einem Flash-Speicher gehört.
Als nächstes müssen wir angeben, zu welcher Art von Einheit das Bild gehört. Wenn es sich um eine physikalische Einheit, eine logische Einheit oder eine Bilddatei handelt, wählen wir in diesem Fall die Bilddatei aus und klicken auf Nächste.
Dann sehen wir das Bild und können in seinen Verzeichnissen und Dateien navigieren, seine Eigenschaften kennen und wissen, welches Betriebssystem es installiert hat.
Dann können wir die virtuelle Festplatte als physische Festplatte analysieren, auf diese Weise kann alles, was sie enthält, einschließlich gelöschter Dateien, angezeigt oder wiederhergestellt werden.
Im Beispiel können wir sehen, wie wir einige Tabellenkalkulationsdateien wiederherstellen können. Wir können das Gerät sogar aus der Option montieren Datei> Image mounten, sobald das Image gemountet ist, wird es wie ein weiteres Laufwerk sein.
Hier sehen wir, dass das Gerät beim Mounten in Laufwerk F: erscheint, jetzt steht es als virtuelles Laufwerk zur Verfügung und wir können Software wie PhotoRec verwenden (Sie haben es in Position 7 dieses Artikels), die wir herunterladen können von seiner offiziellen Website, um gelöschte Dateien wiederherzustellen.
PhotoREc Es ist sehr einfach zu bedienen, es ist keine Installation erforderlich, wir müssen nur angeben, welches Laufwerk oder welche Partition wir wiederherstellen möchten.
Hier sehen wir, dass unser virtuelles Laufwerk F: mit dem Inhalt des Disk-Images erscheint. Wir wählen das Gerät aus und geben dann unten an, in welches Verzeichnis die wiederhergestellten Dateien standardmäßig kopiert werden recup_dir.
Wir können die Erweiterungen der Dateien sehen, die von dem von uns erstellten virtuellen Laufwerk wiederhergestellt wurden. Dieses wiederhergestellte Verzeichnis ist physisch, es ist nicht virtuell oder logisch, sodass wir die Dateien dauerhaft zur Verfügung haben. Diese Software hat auch exe-Dateien wiederhergestellt, sodass wir sie analysieren können, um festzustellen, ob es sich um einen Virus oder eine gefährliche Software für das System handelt virtuelle Maschine wie VirtualBox.
