Analizuokite disko vaizdą naudodami „FTK Imager“

Analizuokite disko vaizdą naudodami „FTK Imager“ | Saugumas 2024
Analizuokite disko vaizdą naudodami „FTK Imager“ | Saugumas 2024

„FTK Imager“, tai programinė įranga, naudojama disko vaizdo failams kurti arba disko atvaizdams ar saugojimo įrenginiams prijungti, ir tada mes galime atlikti disko struktūros analizė, duomenų atkūrimasir kt. Ši programinė įranga leidžia suraskite prarastus failus arba ieškokite duomenų nuskaitydami disko vaizdą naudojant raktinius žodžius.

Naudojant programinę įrangą, gaunamas arba sukuriamas vaizdas iš kietąjį diską formato faile:

  • dd
  • img
  • ed01
  • žalias

Mes galime sukurti vaizdą su disko dalimis arba su visu skaidiniu, kurį vėliau galima atkurti.

Vienas iš privalumų yra tas, kad pasibaigus vaizdo fiksavimui, programinė įranga apskaičiuoja ir sugeneruoja MD5 maišos raktą, kuris bus naudojamas patvirtinti duomenų vientisumą ir kad mūsų sukurtas vaizdas nebuvo pakeistas, nes buvo atlikti minimalūs pakeitimai. vaizdo faile pakeis saugos kodą ir neatitiks originalo.

„FTK Imager“ plačiai naudoja teismo medicinos ekspertai nes tai leidžia užfiksuoti duomenis iš įrenginio, sukurti duomenų vaizdą ir tada įvertinti skaitmeninius įrodymus, kad būtų galima nustatyti, ar reikalinga išsamesnė analizė.

„FTK Imager“ leidžia atlikti įvairias užduotis, kai kurios iš jų yra šios:

  • Sukurkite kietųjų diskų teismo medicinos vaizdus vietiniai, loginiai diskai, nuotolinio saugojimo įrenginiai, mobilieji įrenginiai, „flash“ įrenginiai, „Zip“ diskai, kompaktiniai diskai ir DVD diskai, ištisi aplankai ar atskiri failai iš įvairių vietų.
  • Mes taip pat galime peržiūrėti ir išgauti turinį iš teismo medicinos vaizdų saugomi vietiniame kompiuteryje arba tinklo diske.
  • „FTK Imager“ taip pat leidžia eksportuoti failus ir aplankus, kad juos būtų galima apdoroti atskirai, peržiūrėti ir atkurti failus, kurie buvo ištrinti iš disko arba iš šiukšliadėžės, bet dar nebuvo perrašyti diske.
  • Sukurkite MD5 ir SHA-1 maišas, kad užtikrintumėte ir išsaugotumėte failų ir mūsų sukurto vaizdo vientisumą. Mes sukuriame vaizdą, kaip matėme „Hard Drives and Partitions Forensics with Autopsy“ pamokoje. Taip pat galime naudoti tą patį „FTK Imager“, kad sukurtume atminties įrenginio vaizdą.

Vaizdas yra viso ar dalies saugojimo įrenginio kopija, kad būtų išvengta atsitiktinio ar tyčinio atminties įrenginyje esančių duomenų pakeitimo, „FTK Imager“ sukuria vaizdą kopijuodamas po truputį, gautas vaizdas faile yra identiškas pradinei įrenginio struktūrai, įskaitant erdvę, įrenginio konfigūraciją ir bet kurį failą, kuriame yra įrenginys, net jei jis buvo laikinas. Tai leidžia šiuos duomenis saugoti saugioje vietoje, kad vėliau būtų galima atlikti tyrimą naudojant įrenginio vaizdą.

Atsisiuntę diegimo programą iš oficialios „AccessData“ svetainės ir pradėję diegti programą, kuri veikia tik „Windows“.

Sukurkite įrenginio vaizdą


Vaizdą galime sukurti naudodami tą pačią programinę įrangą iš parinkties Sukurkite disko vaizdą.

Iš „Linux“ galime naudoti dd komanda Norėdami sukurti konkretaus disko ar aplanko vaizdą, atlikite šiuos veiksmus: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Kai turime vaizdą, sukurtą naudojant „FTK Imager“, turime pridėti įrodymų failą iš meniu Failas, pridėkite įrodymų.

Šioje pamokoje turėsime vaizdą, priklausantį „flash“ atmintinei.

Toliau turime nurodyti, kokio tipo vienetui priklauso vaizdas, jei tai fizinis vienetas, loginis vienetas ar vaizdo failas, šiuo atveju pasirenkame vaizdo failą ir spustelėkite Kitas.

Tada pamatysime vaizdą ir galėsime naršyti jo katalogus ir failus, žinoti jo charakteristikas, kokią operacinę sistemą jis įdiegė.

Tada mes galime analizuoti virtualų diską kaip fizinį diską, tokiu būdu galima pamatyti ar atkurti viską, kas jame yra, įskaitant ištrintus failus.

Pavyzdyje matome, kaip galime atkurti kai kuriuos skaičiuoklės failus. Mes netgi galime sumontuoti įrenginį iš pasirinkimo File> Mount Image, kai jis bus sumontuotas, vaizdas bus kaip dar vienas diskas.

Čia matome, kad montuojant įrenginį jis rodomas diske F:, dabar jį turime kaip virtualų diskų įrenginį ir galime naudoti tokią programinę įrangą kaip „PhotoRec“ (ją turite šio straipsnio 7 pozicijoje), kurią galime atsisiųsti iš savo svetainės pareigūno atkurti ištrintus failus.

PhotoREc Tai labai paprasta naudoti, jo nereikia įdiegti, mes tiesiog turime nurodyti, kurį diską ar skaidinį norime atkurti.

Čia matome, kad mūsų virtualus diskas F: pasirodo kartu su disko vaizdo turiniu. Mes pasirenkame vienetą, o žemiau nurodome, kuriame kataloge atkurti failai bus nukopijuoti pagal numatytuosius nustatymus recup_dir.

Matome iš mūsų sukurto virtualiojo disko atkurtų failų plėtinius, šis atkurtas katalogas yra fizinis, jis nėra virtualus ar logiškas, todėl failus turėsime nuolat. Ši programinė įranga taip pat atgavo exe failus, todėl galėtume juos išanalizuoti, kad pamatytume, ar nėra virusų ar pavojingos programinės įrangos sistemai, todėl geriau atlikti tokio tipo analizę virtuali mašina, tokia kaip „VirtualBox“.

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Iš naujo nustatykite ir pakeiskite numatytuosius rodinio aplankus „File Explorer“ „Windows 10“
2
post-title
Atidarykite „Paint“ arba „Powerpoint“ iš „Windows 10“
3
post-title
▷ Sukurkite ir tvarkykite suplanuotas užduotis naudodami „PowerShell“ ✔️
4
post-title
▷ Kaip pašalinti arba įdėti subtitrus PS5 žaidimuose
5
post-title
Ištaisykite „Bluetooth“ problemas „Huawei P smart + Plus“

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -