Analysera diskavbildning med FTK Imager

Analysera diskavbildning med FTK Imager
Innehållsförteckning

FTK Imager, det är programvara som används för att skapa diskavbildningsfiler eller montera diskbilder eller lagringsenheter och sedan kan vi utföra diskstrukturanalys, dataåterställning, etc. Denna programvara tillåter hitta förlorade filer eller sök efter data genom att skanna skivavbild med hjälp av nyckelord.

Med hjälp av programvaran erhålls eller skapas en bild av en hårddisk i en formatfil:

  • dd
  • img
  • ed01

Vi kan skapa en bild med delar av skivan eller med hela partitionen som senare kan byggas om.

En av fördelarna är att i slutet av bildtagningen beräknar och genererar programvaran en MD5 -hashnyckel som kommer att användas för att bekräfta datans integritet och att bilden vi har skapat inte har ändrats, eftersom några minimala ändringar i bildfilen kommer den att ändra säkerhetskoden och den kommer inte att matcha originalet.

FTK Imager används ofta av kriminaltekniska datorexperter eftersom det låter dig fånga data från en enhet, skapa en bild av data och sedan utvärdera det digitala beviset för att avgöra om en mer detaljerad analys är motiverad.

FTK Imager låter dig utföra olika uppgif.webpter, några av dem är följande:

  • Skapa rättsmedicinska bilder av hårddiskar lokala, logiska skivor, fjärrlagringsenheter, mobila enheter, flash -enheter, Zip -skivor, CD -skivor och DVD -skivor, hela mappar eller enskilda filer från olika platser.
  • Vi kan också förhandsgranska och extrahera innehåll från rättsmedicinska bilder lagras på en lokal dator eller på en nätverksenhet.
  • FTK Imager låter oss också exportera filer och mappar för att behandla dem individuellt, visa och återställa filer som har raderats från hårddisken eller från en papperskorg, men som ännu inte har skrivits över på enheten.
  • Skapa MD5- och SHA-1-hashningar för att säkerställa och bevara integriteten för filer och den bild vi genererar. Vi skapar en bild som vi såg i självstudien Hard Drive and Partitions Forensics with Autopsy. Vi kan också använda samma FTK Imager för att skapa en bild av en lagringsenhet.

En bild är en kopia av hela eller delar av lagringsenheten för att förhindra oavsiktlig eller avsiktlig ändring av data som finns på lagringsenheten, FTK Imager gör en bild genom att kopiera bit för bit, den resulterande bilden i en fil, är identisk med enhetens ursprungliga struktur, inklusive utrymme, enhetens konfiguration och alla filer som innehåller enheten även om den var tillfällig. Detta gör att dessa data kan lagras på ett säkert ställe för senare undersökning med hjälp av enhetens bild.

Efter att ha laddat ner installationsprogrammet från AccessDatas officiella webbplats och fortsatte med installationen av programmet som bara fungerar på Windows.

Skapa bild av en enhet


Vi kan skapa bilden med samma programvara från alternativet Skapa skivbild.

Från Linux kan vi använda dd -kommando för att skapa en bild av en viss enhet eller mapp enligt följande: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
När vi har bilden skapad från FTK Imager måste vi lägga till bevisfilen från menyn Arkiv, lägg till bevis.

För denna handledning kommer vi att ha en bild som tillhör ett flashminne.

Därefter måste vi ange vilken typ av enhet bilden tillhör, om det är en fysisk enhet, logisk enhet eller bildfil, i det här fallet väljer vi bildfil och klickar på Nästa.

Sedan kommer vi att se bilden och vi kommer att kunna navigera i dess kataloger och filer, känna till dess egenskaper, vilket operativsystem det hade installerat.

Då kan vi analysera den virtuella disken som en fysisk disk, på så sätt kan allt som den innehåller, inklusive raderade filer, ses eller återställas.

I exemplet kan vi se hur vi kan återställa vissa kalkylarkfiler. Vi kan till och med montera enheten från tillvalet Arkiv> Montera bild, när den är monterad kommer bilden att vara som en hårddisk till.

Här kan vi se att när enheten monteras visas den i enhet F:, nu har vi den tillgänglig som en virtuell hårddisk och vi kan använda programvara som PhotoRec (Du har den i position 7 i den här artikeln), som vi kan ladda ner från sin webbplats officiella för att återställa raderade filer.

FotoREc Det är väldigt enkelt att använda, det behöver inte installeras, vi måste bara ange vilken enhet eller partition vi vill återställa.

Här kan vi se att vår virtuella enhet F: visas med innehållet i diskavbildningen. Vi väljer enheten och nedan anger vi i vilken katalog de återställda filerna kommer att kopieras som standard recup_dir.

Vi kan se filtillägget som återställts från den virtuella enheten som vi skapade, den här återställda katalogen är fysisk, den är inte virtuell eller logisk, så vi kommer att ha filerna till vårt förfogande permanent. Denna programvara har också återställt exe -filer, så vi kan analysera dem för att se om det finns ett virus eller farlig programvara för systemet, så det är bättre att köra denna typ av analys i en virtuell maskin som VirtualBox.

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Så här aktiverar du fjärrskrivbord med kommandon i Linux
2
post-title
Så här konfigurerar och använder du Windows 10 e -postprogram
3
post-title
Hur man döljer användaren på inloggningsskärmen Windows 10
4
post-title
Eliminera den tid som sudo / gksu varar
5
post-title
▷ Visa operativsystem med CMD eller PowerShell - Windows

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -