Analizuj obraz dysku za pomocą FTK Imager

Analizuj obraz dysku za pomocą FTK Imager

Imager FTK, jest to oprogramowanie służące do tworzenia plików obrazów dysków lub montowania obrazów dysków lub urządzeń pamięci masowej, a następnie możemy wykonać analiza struktury dysku, odzyskiwanie danychitp. To oprogramowanie pozwala zlokalizuj utracone pliki lub wyszukaj dane, skanując obraz dysku za pomocą słów kluczowych.

Za pomocą oprogramowania uzyskuje się lub tworzy obraz dysk twardy w formacie pliku:

  • dd
  • obrazek
  • ed01
  • surowy

Możemy stworzyć obraz z częściami dysku lub z całą partycją, którą można później odbudować.

Jedną z zalet jest to, że pod koniec przechwytywania obrazu oprogramowanie oblicza i generuje klucz skrótu MD5, który zostanie użyty do potwierdzenia integralności danych oraz że utworzony przez nas obraz nie został zmieniony, ponieważ wszelkie minimalne zmiany w pliku obrazu zmieni kod zabezpieczający i nie będzie pasował do oryginału.

FTK Imager jest szeroko stosowany przez ekspertów informatyki kryminalistycznej ponieważ umożliwia przechwytywanie danych z urządzenia, tworzenie obrazu danych, a następnie ocenę dowodów cyfrowych w celu ustalenia, czy uzasadniona jest bardziej szczegółowa analiza.

FTK Imager umożliwia wykonywanie różnych zadań, niektóre z nich to:

  • Twórz obrazy kryminalistyczne dysków twardych lokalne, logiczne dyski, zdalne urządzenia magazynujące, urządzenia mobilne, dyski flash, dyski Zip, CD i DVD, całe foldery lub pojedyncze pliki z różnych lokalizacji.
  • Możemy także podgląd i wyodrębnij zawartość z obrazów kryminalistycznych przechowywane na komputerze lokalnym lub na dysku sieciowym.
  • FTK Imager pozwala nam również eksportować pliki i foldery, aby traktować je indywidualnie, przeglądaj i odzyskuj pliki, które zostały usunięte z dysku lub z kosza, ale nie zostały jeszcze nadpisane na dysku.
  • Twórz skróty MD5 i SHA-1, aby zapewnić i zachować integralność plików i generowanego obrazu. Tworzymy obraz tak, jak widzieliśmy w samouczku Dyski twarde i partycje Forensics with Autopsy. Możemy również użyć tego samego FTK Imager do stworzenia obrazu urządzenia pamięci masowej.

Obraz jest kopią całości lub części urządzenia pamięci masowej, aby zapobiec przypadkowej lub celowej modyfikacji danych znajdujących się na urządzeniu pamięci masowej, FTK Imager tworzy obraz, kopiując bit po bicie, wynikowy obraz w pliku, jest identyczny z oryginalną strukturą urządzenia, łącznie z miejscem, konfiguracją jednostki i dowolnym plikiem zawierającym jednostkę, nawet jeśli był tymczasowy. Pozwala to na przechowywanie tych danych w bezpiecznym miejscu do późniejszego zbadania z wykorzystaniem obrazu urządzenia.

Po pobraniu instalatora z oficjalnej strony AccessData i przystąpieniu do instalacji programu działającego tylko w systemie Windows.

Utwórz obraz urządzenia


Obraz możemy stworzyć tym samym oprogramowaniem z opcji Utwórz obraz płyty.

Z Linuksa możemy użyć polecenie dd aby utworzyć obraz konkretnego dysku lub folderu w następujący sposób: 

 sudo dd if = / dev / partycja = / home / myuser / plik copy.dd
Kiedy mamy obraz utworzony z FTK Imager, musimy dodać plik dowodowy, z menu Plik, Dodaj dowód.

W tym samouczku będziemy mieli obraz należący do pamięci flash.

Następnie musimy wskazać do jakiego typu jednostki należy obraz, jeśli jest to jednostka fizyczna, logiczna lub plik obrazu, w tym przypadku wybieramy plik obrazu i klikamy na Następny.

Następnie zobaczymy obraz i będziemy mogli nawigować po jego katalogach i plikach, poznać jego charakterystykę, jaki system operacyjny zainstalował.

Następnie jesteśmy w stanie przeanalizować dysk wirtualny jako dysk fizyczny, w ten sposób wszystko, co zawiera, w tym usunięte pliki, można zobaczyć lub odzyskać.

W przykładzie widzimy, jak możemy odzyskać niektóre pliki arkusza kalkulacyjnego. Możemy nawet zamontować urządzenie z opcji Plik> Zamontuj obraz, po zamontowaniu obraz będzie jak jeszcze jeden dysk.

Tutaj widzimy, że po zamontowaniu urządzenia pojawia się w napędzie F :, teraz mamy go do dyspozycji jako wirtualny dysk i możemy użyć oprogramowania takiego jak PhotoRec (masz go w pozycji 7 tego artykułu), które możemy pobrać z oficjalnej strony internetowej, aby odzyskać usunięte pliki.

PhotoREc Jest bardzo prosty w obsłudze, nie wymaga instalacji, wystarczy wskazać, który dysk lub partycję chcemy odzyskać.

Tutaj widzimy, że nasz wirtualny dysk F: pojawia się z zawartością obrazu dysku. Wybieramy jednostkę, a następnie poniżej wskazujemy, w którym katalogu odzyskane pliki zostaną domyślnie skopiowane recup_dir.

Widzimy rozszerzenia plików odzyskanych z wirtualnego dysku, który utworzyliśmy, ten odzyskany katalog jest fizyczny, nie jest wirtualny ani logiczny, więc będziemy mieć pliki do naszej stałej dyspozycji. To oprogramowanie odzyskało również pliki exe, więc możemy je przeanalizować, aby sprawdzić, czy nie są wirusami lub niebezpiecznym oprogramowaniem dla systemu, więc lepiej jest przeprowadzić tego typu analizę w maszyna wirtualna, taka jak VirtualBox.

Będziesz pomóc w rozwoju serwisu, dzieląc stronę ze swoimi znajomymi

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Różnica między „Trybem cichym” a „Nie przeszkadzać” na iPhonie
2
post-title
Zmień nazwę konta administratora i gościa w systemie Windows Server
3
post-title
Jak usunąć hasło PDF w systemie Windows 10
4
post-title
Jak aktywować debugowanie USB Huawei P30 Pro
5
post-title
▷ Jak korzystać z programu antywirusowego Windows Defender ✔️ Polecenia CMD

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -