中文成人无字幕乱码精品_成人免费看电影_欧美日韩在线视频一区二区_麻豆久久精品_日本不卡免费新一二三区_伊人网一区

軟件下載：鏈接: https://pan.baidu.com/s/1_r0ZdImQp6azxz956HU7dg 提取碼: uveg

一、FTK Imager 主要功能

1.證據獲取

2.哈希值計算

3.文件查看及提取

4.鏡像文件掛載

5.數據恢復

6.特定數據提取

 

二、證據獲取

FTK image支撐獲取的數據來源類型：

物理磁盤

邏輯驅動器

鏡像文件（EO1、DD 、smart、vmdk、gho、nero）

文件夾

物理內存

 

證據獲取類型：

物理鏡像（針對特定物理磁盤或邏輯驅動器）

邏輯鏡像（針對特定文件夾、磁盤特定對象）

內存鏡像

三、證據獲取-物理鏡像

 

選擇物理驅動器即可，其他可以根據需求進行選擇操作

選擇驅動器，由于我這里是在虛擬機操作，顯示則為vmware

導出磁盤鏡像

 

 

這里選擇E01格式，這是Windows常見用于司法設置的證據。也可以選擇raw（dd）

填寫相關的信息作為檔案信息，以備用于大量鏡像考究

后綴名可以自行自定義

直接開始

磁盤鏡像提取需要足夠大的第二磁盤空間進行存放鏡像，否則執行一般會出現錯誤

四、證據獲取-內存鏡像

 

點擊Captur Memory進行內存鏡像提取

 

 

默認包含pagefile

等待完成

 

 

至此鏡像證據的提取已經操作成功，接下來可以通過一些工具進行取證分析。

對于Windows鏡像提取工具有很多，像DumpIt也是一款常用的工具，其他工具大家可以過后進行了解，選擇一款適用于自己的工具即可。

Linux的鏡像提取比較簡單，可以通過dd命令進行操作，這里不再過多介紹。

下一篇文章再給大家介紹取證分析。