Анализирайте изображението на диска с FTK Imager

Анализирайте изображението на диска с FTK Imager

FTK Imager, това е софтуер, използван за създаване на файлове с дискови изображения или монтиране на дискови изображения или устройства за съхранение и след това можем да изпълняваме анализ на структурата на диска, възстановяване на даннии т.н. Този софтуер позволява намиране на изгубени файлове или търсене на данни чрез сканиране на изображението на диска използване на ключови думи.

С помощта на софтуера се получава или създава изображение на твърд диск във формат файл:

  • дд
  • img
  • ed01
  • суров

Можем да създадем изображение с части от диска или с целия дял, които по -късно могат да бъдат възстановени.

Едно от предимствата е, че в края на заснемането на изображението софтуерът изчислява и генерира MD5 хеш ключ, който ще се използва за потвърждаване целостта на данните и че изображението, което сме създали не е променено, тъй като всякакви минимални промени във файла с изображение той ще промени кода за сигурност и няма да съответства на оригинала.

FTK Imager се използва широко от съдебни компютърни експерти тъй като ви позволява да улавяте данни от устройство, да създавате изображение на данните и след това да оценявате цифровите доказателства, за да определите дали е оправдан по -подробен анализ.

FTK Imager ви позволява да правите различни задачи, някои от тях са следните:

  • Създайте криминалистични изображения на твърди дискове локални, логически дискове, отдалечени устройства за съхранение, мобилни устройства, флашки, Zip дискове, компактдискове и DVD дискове, цели папки или отделни файлове от различни места.
  • Ние също можем визуализиране и извличане на съдържание от съдебномедицински изображения съхранявани на локален компютър или на мрежово устройство.
  • FTK Imager също ни позволява да експортираме файлове и папки, за да ги третираме индивидуално, преглеждайте и възстановявайте файлове, които са изтрити от диска или от кошчето, но все още не са презаписани на устройството.
  • Създайте хешове MD5 и SHA-1, за да осигурите и запазите целостта на файловете и изображението, което генерираме. Ние създаваме изображение, както видяхме в урока Твърди дискове и съдебна криминалистика с аутопсия. Можем също да използваме същия FTK Imager за създаване на образ на устройство за съхранение.

Изображението е копие на цялото или част от устройството за съхранение, за да се предотврати случайно или умишлено изменение на данните, които съществуват на устройството за съхранение, FTK Imager прави изображение, като копира малко по малко, полученото изображение във файл, е идентично с оригиналната структура на устройството, включително пространство, конфигурация на устройството и всеки файл, който съдържа устройството, дори и да е временен. Това позволява тези данни да се съхраняват на сигурно място за по -късно разследване с помощта на изображението на устройството.

След като изтеглите инсталатора от официалния уебсайт на AccessData и продължите с инсталирането на програмата, която работи само на Windows.

Създайте изображение на устройство


Можем да създадем изображението със същия софтуер от опцията Създайте изображение на диска.

От Linux можем да използваме команда dd за да създадете изображение на конкретно устройство или папка, както следва: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Когато имаме изображението, създадено от FTK Imager, трябва да добавим доказателствения файл от менюто Файл, Добавяне на доказателства.

За този урок ще имаме изображение, принадлежащо към флаш памет.

След това трябва да посочим към кой тип единица принадлежи изображението, ако това е физическа единица, логическа единица или файл с изображение, в този случай избираме файл с изображение и кликваме върху Следващия.

След това ще видим изображението и ще можем да навигираме в неговите директории и файлове, да знаем неговите характеристики, каква операционна система е инсталирала.

След това можем да анализираме виртуалния диск като физически диск, по този начин всичко, което съдържа, включително изтритите файлове, може да се види или възстанови.

В примера можем да видим как можем да възстановим някои файлове с електронни таблици. Можем дори да монтираме устройството от опцията Файл> Монтиране на изображение, след като бъде монтиран, изображението ще бъде като още едно дисково устройство.

Тук можем да видим, че когато монтирате устройството, той се появява в устройство F:, сега го имаме на разположение като виртуално дисково устройство и можем да използваме софтуер като PhotoRec (Имате го в позиция 7 на тази статия), който можем да изтеглим от официалния уебсайт за възстановяване на изтрити файлове.

PhotoREc Той е много лесен за използване, не се нуждае от инсталация, просто трябва да посочим кое устройство или дял искаме да възстановим.

Тук можем да видим, че нашето виртуално устройство F: се появява със съдържанието на образа на диска. Избираме единицата и след това по -долу посочваме в коя директория възстановените файлове ще бъдат копирани по подразбиране recup_dir.

Можем да видим разширенията на файловете, възстановени от създаденото от нас виртуално устройство, тази възстановена директория е физическа, не е виртуална или логична, така че ще имаме файловете на наше разположение за постоянно. Този софтуер също е възстановил exe файлове, така че можем да ги анализираме, за да видим дали има вируси или опасен софтуер за системата, така че е по -добре да стартирате този тип анализ в виртуална машина като VirtualBox.

Така ще помогнете за развитието на сайта, сподели с приятелите си

wave wave wave wave wave

Популярни Публикации

wave
1
post-title
Съвети за управление на пароли
2
post-title
▷ Как да споделите WhatsApp група LINK iPhone - Връзка
3
post-title
▷ Как да изтрия акаунта в Signal - ПОСТОЯННА
4
post-title
Избягвайте да запомните паролата в Chrome, Firefox, Safari или Edge
5
post-title
Поправете грешка в мобилните данни, която не работи на iPhone X или iOS 11

Препоръчано

wave
- Sponsored Ad -

Избор На Редактора

wave
- Sponsored Ad -