一、FTK Imager制作镜像详细教程
1、文件-创建磁盘镜像
2、参数详解:
1)物理驱动器
整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
2)逻辑驱动器(L)
分区,如:一块硬盘分C盘、D盘等;
3)映像文件(I)
镜像文件,如:DD、E01等镜像文件;
4)文件夹内容(F)
文件夹,就是可对文件夹做出镜像;
5)Fernico设备(多个CD/DVD)(D)
对光盘做镜像;
3、选择需要做镜像的硬盘
可以看到我这里有两块硬盘,1个是自己电脑上的硬盘1TB的,1个是我用来做测试的U盘。
4、选择镜像类型
DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。
5、填写案件信息(可选)
全部是非可选项,可直接忽略
6、设置镜像参数
7、镜像验证设置(可选)
勾选”创建后验证映像(V)“,校验比对镜像的哈希值;
勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;
勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;
开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。
8、镜像制作完成
由于选择了分卷,所以制作出来的镜像如下图:
二、FTK Imager制作内存镜像
1、菜单栏或工具栏点击内存捕获按钮制作内存镜像。
2、填写镜像存储路径、镜像名;以及可选项:包括页信息、创建AD1文件。
3、内存镜像完成
内存镜像并不一定就等于内存条容量的大小,而是取决于自身内存大小+进程占用内存的数据大小;如本机内存16G,但电脑开着非常多的应用,占用非常大的内存,制作的内存镜像达到19G。
制作完成:
4、镜像文件与页信息文件
三、FTK Imager挂载磁盘镜像教程
1、路径:文件->Image Mounting
2、镜像挂载前
填写"镜像路径"->选择"挂载模式"(图中选择的是"只读"模式)->点击"Mount"(挂载)按钮。
如果是系统镜像需要仿真,则挂载模式要选择"可读写"(虚拟写)模式。
3、镜像挂载后
点击"mount"按钮,镜像开始挂载,挂载成功后会出现驱动器号和分区类型等。在这里就可以看到磁盘镜像的文件格式、操作系统等参数。
4、镜像挂载注意事项
镜像挂载的时候可能会显示失败,但可能是成功的,以实际挂载本地磁盘显示为主!
Linux、mac等镜像目前还无法直接挂载在Windows电脑查看,但可通过软件分析看数据内容。
挂载成功后就可以在文件管理器看到挂载的盘符了,因为这次挂载的是Linux的镜像,目前Windows还无法直接显示Linux的文件系统,所有看不到盘的数据内容,有时候还会提示请"格式化磁盘",关闭弹窗就好。
四、FTK imager数据恢复功能
1、先把硬盘镜像挂载到本地,然后再选择本地磁盘/分区
加载镜像到本地
添加证据项
恢复数据(前面打×的就是删除恢复的数据)
2、直接加载镜像文件,不再挂载本地恢复
右键导出文件:
