FTK Imager, het is software die wordt gebruikt om schijfkopiebestanden te maken of schijfkopieën of opslagapparaten te koppelen en dan kunnen we uitvoeren schijfstructuuranalyse, gegevensherstel, enz. Deze software maakt het mogelijk zoek verloren bestanden of zoek naar gegevens door de schijfkopie te scannen trefwoorden gebruiken.
Met behulp van de software wordt een afbeelding verkregen of gemaakt van een harde schijf in een formaat bestand:
- dd
- img
- ed01
- rauw
We kunnen een image maken met delen van de schijf of met de hele partitie die later opnieuw kan worden opgebouwd.
Een van de voordelen is dat de software aan het einde van het vastleggen van de afbeelding een MD5-hashsleutel berekent en genereert die zal worden gebruikt om de integriteit van de gegevens te bevestigen en dat de afbeelding die we hebben gemaakt niet is gewijzigd, aangezien minimale wijzigingen in het afbeeldingsbestand verandert het de beveiligingscode en komt het niet overeen met het origineel.
FTK Imager wordt veel gebruikt door forensische computerexperts omdat u hiermee gegevens van een apparaat kunt vastleggen, een afbeelding van de gegevens kunt maken en vervolgens het digitale bewijs kunt evalueren om te bepalen of een meer gedetailleerde analyse gerechtvaardigd is.
Met FTK Imager kunt u verschillende taken uitvoeren, waaronder de volgende:
- Forensische afbeeldingen van harde schijven maken lokale, logische schijven, externe opslagapparaten, mobiele apparaten, flashdrives, zip-schijven, cd's en dvd's, hele mappen of afzonderlijke bestanden vanaf verschillende locaties.
- We kunnen ook bekijk en extraheer inhoud van forensische afbeeldingen opgeslagen op een lokale computer of op een netwerkstation.
- Met FTK Imager kunnen we ook bestanden en mappen exporteren om ze afzonderlijk te behandelen, bekijk en herstel bestanden die van de schijf of uit een prullenbak zijn gewist, maar die nog niet op de schijf zijn overschreven.
- Maak MD5- en SHA-1-hashes om de integriteit van bestanden en de afbeelding die we genereren te waarborgen en te behouden. We maken een afbeelding zoals we zagen in de tutorial Harde schijven en partities forensisch onderzoek met autopsie. We kunnen dezelfde FTK Imager ook gebruiken om een afbeelding van een opslagapparaat te maken.
Een afbeelding is een kopie van het gehele of een deel van het opslagapparaat om onbedoelde of opzettelijke wijziging van de gegevens op het opslagapparaat te voorkomen, FTK Imager maakt een afbeelding door beetje bij beetje te kopiëren, de resulterende afbeelding in een bestand, is identiek aan de oorspronkelijke structuur van het apparaat, inclusief ruimte, configuratie van het apparaat en elk bestand dat het apparaat bevat, zelfs als het tijdelijk was. Hierdoor kunnen deze gegevens op een veilige plaats worden opgeslagen voor later onderzoek met behulp van de afbeelding van het apparaat.
Na het downloaden van het installatieprogramma van de officiële website van AccessData en doorgaan met de installatie van het programma dat alleen op Windows werkt.
Maak een afbeelding van een apparaat
We kunnen de afbeelding maken met dezelfde software van de optie Schijfimage maken.
Vanuit Linux kunnen we de dd commando om als volgt een afbeelding van een bepaalde schijf of map te maken:
sudo dd if = / dev / partitie van = / home / mijngebruiker / bestand copy.ddWanneer we de afbeelding hebben gemaakt met FTK Imager, moeten we het bewijsbestand toevoegen vanuit het menu Bestand, bewijs toevoegen.
Voor deze tutorial hebben we een afbeelding die bij een flashgeheugen hoort.
Vervolgens moeten we aangeven tot welk type eenheid de afbeelding behoort, of het een fysieke eenheid, logische eenheid of afbeeldingsbestand is, in dit geval selecteren we afbeeldingsbestand en klikken op Volgende.
Dan zullen we de afbeelding zien en zullen we in staat zijn om door de mappen en bestanden te navigeren, de kenmerken ervan te kennen, welk besturingssysteem het had geïnstalleerd.
Dan zijn we in staat om de virtuele schijf als een fysieke schijf te analyseren, op deze manier kan alles wat erop staat, inclusief verwijderde bestanden, worden gezien of hersteld.
In het voorbeeld kunnen we zien hoe we sommige spreadsheetbestanden kunnen herstellen. We kunnen de unit zelfs vanuit de optie monteren Bestand> Afbeelding koppelen, eenmaal aangekoppeld, zal de afbeelding eruitzien als nog een schijfstation.
Hier kunnen we zien dat bij het monteren van het apparaat het verschijnt in station F:, nu hebben we het beschikbaar als een virtuele schijf en kunnen we software gebruiken zoals PhotoRec (u hebt het op positie 7 van dit artikel), die we kunnen downloaden van de officiële website om verwijderde bestanden te herstellen.
FotoREc Het is heel eenvoudig te gebruiken, het hoeft niet te worden geïnstalleerd, we hoeven alleen aan te geven welke schijf of partitie we willen herstellen.
Hier kunnen we zien dat onze virtuele schijf F: verschijnt met de inhoud van de schijfkopie. We selecteren de eenheid en geven hieronder aan in welke map de herstelde bestanden standaard worden gekopieerd: recup_dir.
We kunnen de extensies zien van de bestanden die zijn hersteld van de virtuele schijf die we hebben gemaakt, deze herstelde map is fysiek, het is niet virtueel of logisch, dus we zullen de bestanden permanent tot onze beschikking hebben. Deze software heeft ook exe-bestanden hersteld, dus we kunnen ze analyseren om te zien of er een virus of gevaarlijke software voor het systeem is, dus het is beter om dit soort analyse in een virtuele machine zoals VirtualBox.
