Analizați imaginea discului cu FTK Imager

Analizați imaginea discului cu FTK Imager

FTK Imager, este un software folosit pentru a crea fișiere de imagine pe disc sau pentru a monta imagini pe disc sau dispozitive de stocare și apoi putem efectua analiza structurii discului, recuperarea datelor, etc. Acest software permite localizați fișierele pierdute sau căutați date scanând imaginea discului folosind cuvinte cheie.

Folosind software-ul, se obține sau se creează o imagine dintr-un hard disk într-un fișier format:

  • dd
  • img
  • ed01
  • brut

Putem crea o imagine cu părți ale discului sau cu întreaga partiție care poate fi reconstruită ulterior.

Unul dintre avantaje este că, la sfârșitul capturării imaginii, software-ul calculează și generează o cheie hash MD5 care va fi utilizată pentru a confirma integritatea datelor și că imaginea pe care am creat-o nu a fost modificată, deoarece orice modificări minime în fișierul imagine va modifica codul de securitate și nu se va potrivi cu originalul.

FTK Imager este utilizat pe scară largă de către experții în domeniul criminalisticii deoarece vă permite să capturați date de pe un dispozitiv, să creați o imagine a datelor și apoi să evaluați dovezile digitale pentru a determina dacă este necesară o analiză mai detaliată.

FTK Imager vă permite să efectuați diverse sarcini, unele dintre acestea fiind următoarele:

  • Creați imagini criminalistice ale hard diskurilor discuri locale, logice, dispozitive de stocare la distanță, dispozitive mobile, unități flash, discuri Zip, CD-uri și DVD-uri, foldere întregi sau fișiere individuale din diferite locații.
  • Putem de asemenea previzualizați și extrageți conținut din imagini criminalistice stocate pe un computer local sau pe o unitate de rețea.
  • FTK Imager ne permite, de asemenea, să exportăm fișiere și foldere pentru a le trata individual, vizualizați și recuperați fișierele care au fost șterse de pe disc sau dintr-un coș de reciclare, dar care nu au fost încă suprascrise pe unitate.
  • Creați hash-uri MD5 și SHA-1 pentru a asigura și păstra integritatea fișierelor și a imaginii pe care o generăm. Creăm o imagine așa cum am văzut în tutorialul Unități de disc dur și partiții medico-legale cu autopsie. De asemenea, putem folosi același FTK Imager pentru a crea o imagine a unui dispozitiv de stocare.

O imagine este o copie a întregului sau a unei părți a dispozitivului de stocare pentru a preveni modificarea accidentală sau intenționată a datelor care există pe dispozitivul de stocare, FTK Imager realizează o imagine copiind bit cu bit, imaginea rezultată într-un fișier, este identică cu structura originală a dispozitivului, inclusiv spațiul, configurația unității și orice fișier care conține unitatea chiar dacă a fost temporară. Acest lucru permite stocarea acestor date într-un loc sigur pentru investigații ulterioare utilizând imaginea dispozitivului.

După descărcarea programului de instalare de pe site-ul oficial al AccessData și continuarea instalării programului care funcționează numai pe Windows.

Creați imaginea unui dispozitiv


Putem crea imaginea cu același software din opțiune Creați o imagine de disc.

Din Linux putem folosi dd comandă pentru a crea o imagine a unei anumite unități sau folder, după cum urmează: 

 sudo dd if = / dev / partiție a = / home / myuser / file copy.dd
Când avem imaginea creată din FTK Imager trebuie să adăugăm fișierul de probe, din meniu Fișier, Adăugați dovezi.

Pentru acest tutorial vom avea o imagine aparținând unei memorii flash.

În continuare trebuie să indicăm la ce tip de unitate aparține imaginea, dacă este o unitate fizică, unitate logică sau fișier imagine, în acest caz selectăm fișier imagine și facem clic pe Următorul.

Apoi vom vedea imaginea și vom putea naviga în directoare și fișiere, să îi cunoaștem caracteristicile, ce sistem de operare a instalat.

Apoi, putem analiza discul virtual ca un disc fizic, în acest fel, tot ceea ce conține, inclusiv fișierele șterse, poate fi văzut sau recuperat.

În exemplu, putem vedea cum putem recupera unele fișiere de foi de calcul. Putem chiar monta unitatea din opțiune Fișier> Montare imagine, odată montată imaginea va fi ca încă o unitate de disc.

Aici putem vedea că la montarea unității apare în unitatea F: acum o avem disponibilă ca unitate de disc virtual și putem folosi software cum ar fi PhotoRec (îl aveți în poziția 7 a acestui articol), pe care îl putem descărca de la oficialul site-ului său web pentru a recupera fișierele șterse.

PhotoREc Este foarte simplu de utilizat, nu necesită instalare, trebuie doar să indicăm ce unitate sau partiție dorim să recuperăm.

Aici putem vedea că unitatea noastră virtuală F: apare cu conținutul imaginii discului. Selectăm unitatea și apoi indicăm mai jos în ce director vor fi copiate fișierele recuperate în mod implicit recup_dir.

Putem vedea extensiile fișierelor recuperate de pe unitatea virtuală pe care am creat-o, acest director recuperat este fizic, nu este virtual sau logic, așa că vom avea fișierele la dispoziția noastră permanent. Acest software a recuperat și fișiere exe, așa că le-am putea analiza pentru a vedea dacă există vreun virus sau software periculos pentru sistem, deci este mai bine să rulați acest tip de analiză într-un mașină virtuală precum VirtualBox.

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
▷ Creați boot USB Windows 10 din ISO
2
post-title
Greselile frecvente pe care le fac dezvoltatorii atunci când estimează timpii
3
post-title
Descărcați Kaspersky Antivirus Windows 10 gratuit
4
post-title
▷ Cum se pune parola la Signal
5
post-title
Transferați contactele de pe mobilul Android pe Android

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -