Analyser diskbillede med FTK Imager

Analyser diskbillede med FTK Imager
Indholdsfortegnelse

FTK Imager, det er software, der bruges til at oprette diskbilledfiler eller montere diskbilleder eller lagerenheder, og så kan vi udføre diskstrukturanalyse, datagendannelse, etc. Denne software tillader Find tabte filer eller søg efter data ved at scanne diskbillede ved hjælp af søgeord.

Ved hjælp af softwaren opnås eller oprettes et billede af en harddisk i en formatfil:

  • dd
  • img
  • ed01

Vi kan oprette et billede med dele af disken eller med hele partitionen, der senere kan genopbygges.

En af fordelene er, at softwaren i slutningen af ​​billedoptagelsen beregner og genererer en MD5 -hashnøgle, der vil blive brugt til at bekræfte dataintegriteten, og at det billede, vi har oprettet, ikke er blevet ændret, da der er minimale ændringer i billedfilen ændrer den sikkerhedskoden, og den matcher ikke originalen.

FTK Imager bruges i vid udstrækning af retsmedicinske computereksperter da det giver dig mulighed for at fange data fra en enhed, oprette et billede af dataene og derefter evaluere det digitale bevis for at afgøre, om en mere detaljeret analyse er berettiget.

FTK Imager giver dig mulighed for at udføre forskellige opgaver, nogle af dem er følgende:

  • Opret retsmedicinske billeder af harddiske lokale, logiske diske, eksterne lagerenheder, mobile enheder, flashdrev, Zip -diske, cd'er og dvd'er, hele mapper eller individuelle filer fra forskellige steder.
  • Vi kan også få vist og udtrække indhold fra retsmedicinske billeder gemt på en lokal computer eller på et netværksdrev.
  • FTK Imager giver os også mulighed for at eksportere filer og mapper for at behandle dem individuelt, se og gendanne filer, der er blevet slettet fra disken eller fra en papirkurv, men endnu ikke er blevet overskrevet på drevet.
  • Opret MD5- og SHA-1-hash for at sikre og bevare integriteten af ​​filer og det billede, vi genererer. Vi skaber et billede, som vi så i vejledningen Harddiske og partitioner Retsmedicin med obduktion. Vi kan også bruge den samme FTK Imager til at oprette et billede af en lagerenhed.

Et billede er en kopi af hele eller en del af lagerenheden for at forhindre utilsigtet eller forsætlig ændring af de data, der findes på lagerenheden, FTK Imager laver et billede ved at kopiere bit for bit, det resulterende billede i en fil, er identisk med enhedens originale struktur, herunder plads, enhedens konfiguration og enhver fil, der indeholder enheden, selvom den var midlertidig. Dette gør det muligt at gemme disse data på et sikkert sted til senere undersøgelse ved hjælp af billedet af enheden.

Efter at have downloadet installationsprogrammet fra AccessData's officielle websted og fortsat med installationen af ​​det program, der kun fungerer på Windows.

Opret billede af en enhed


Vi kan oprette billedet med den samme software fra indstillingen Opret diskbillede.

Fra Linux kan vi bruge kommando dd for at oprette et billede af et bestemt drev eller en bestemt mappe på følgende måde: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Når vi har billedet oprettet fra FTK Imager, skal vi tilføje bevisfilen fra menuen Fil, Tilføj bevis.

Til denne vejledning har vi et billede, der tilhører en flash -hukommelse.

Dernæst skal vi angive, hvilken type enhed billedet tilhører, hvis det er en fysisk enhed, logisk enhed eller billedfil, i dette tilfælde vælger vi billedfil og klikker på Næste.

Derefter vil vi se billedet, og vi vil kunne navigere i dets biblioteker og filer, kende dets egenskaber, hvilket operativsystem det havde installeret.

Så er vi i stand til at analysere den virtuelle disk som en fysisk disk, på denne måde kan alt, hvad den indeholder, inklusive slettede filer, ses eller gendannes.

I eksemplet kan vi se, hvordan vi kan gendanne nogle regnearksfiler. Vi kan endda montere enheden fra optionen Fil> Monter billede, når billedet er monteret, vil det ligne et diskdrev mere.

Her kan vi se, at når du monterer enheden, vises den i drev F:, nu har vi den tilgængelig som et virtuelt diskdrev, og vi kan bruge software som PhotoRec (Du har den i position 7 i denne artikel), som vi kan downloade fra sin webstedets officielle for at gendanne slettede filer.

FotoREc Det er meget enkelt at bruge, det kræver ikke installation, vi skal bare angive, hvilket drev eller partition vi vil gendanne.

Her kan vi se, at vores virtuelle drev F: vises med indholdet af diskbilledet. Vi vælger enheden, og derefter angiver vi nedenfor i hvilken mappe de gendannede filer som standard vil blive kopieret recup_dir.

Vi kan se filtypenavnet, der er gendannet fra det virtuelle drev, vi har oprettet, dette gendannede bibliotek er fysisk, det er ikke virtuelt eller logisk, så vi vil have filerne til vores rådighed permanent. Denne software har også gendannet exe -filer, så vi kunne analysere dem for at se, om der er en virus eller farlig software til systemet, så det er bedre at køre denne type analyse i en virtuel maskine som VirtualBox.

Du vil bidrage til udviklingen af ​​hjemmesiden, at dele siden med dine venner

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Sådan fjernes Google Huawei Mate 20 Lite -konto
2
post-title
Sådan aktiveres Xiaomi Amazfit Bip pulsmåler
3
post-title
Netbeans: Opret HTML5 -projekter med skabeloner og plugin
4
post-title
Konfigurer e -mailserver på Fedora 23
5
post-title
▷ Sådan bruges stemmer på TikTok

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -