软件下载：链接: https://pan.baidu.com/s/1_r0ZdImQp6azxz956HU7dg 提取码: uveg

一、FTK Imager 主要功能

1.证据获取

2.哈希值计算

3.文件查看及提取

4.镜像文件挂载

5.数据恢复

6.特定数据提取

 

二、证据获取

FTK image支撑获取的数据来源类型：

物理磁盘

逻辑驱动器

镜像文件（EO1、DD 、smart、vmdk、gho、nero）

文件夹

物理内存

 

证据获取类型：

物理镜像（针对特定物理磁盘或逻辑驱动器）

逻辑镜像（针对特定文件夹、磁盘特定对象）

内存镜像

三、证据获取-物理镜像

 

选择物理驱动器即可，其他可以根据需求进行选择操作

选择驱动器，由于我这里是在虚拟机操作，显示则为vmware

导出磁盘镜像

 

 

这里选择E01格式，这是Windows常见用于司法设置的证据。也可以选择raw（dd）

填写相关的信息作为档案信息，以备用于大量镜像考究

后缀名可以自行自定义

直接开始

磁盘镜像提取需要足够大的第二磁盘空间进行存放镜像，否则执行一般会出现错误

四、证据获取-内存镜像

 

点击Captur Memory进行内存镜像提取

 

 

默认包含pagefile

等待完成

 

 

至此镜像证据的提取已经操作成功，接下来可以通过一些工具进行取证分析。

对于Windows镜像提取工具有很多，像DumpIt也是一款常用的工具，其他工具大家可以过后进行了解，选择一款适用于自己的工具即可。

Linux的镜像提取比较简单，可以通过dd命令进行操作，这里不再过多介绍。

下一篇文章再给大家介绍取证分析。