FTK Imager ile disk görüntüsünü analiz edin

FTK Imager ile disk görüntüsünü analiz edin

FTK Görüntüleyici, disk görüntü dosyaları oluşturmak veya disk görüntülerini veya depolama aygıtlarını monte etmek için kullanılan yazılımdır ve daha sonra gerçekleştirebiliriz disk yapısı analizi, veri kurtarma, vb. Bu yazılım izin verir Disk görüntüsünü tarayarak kayıp dosyaları bulun veya veri arayın anahtar kelimeler kullanarak.

Yazılımı kullanarak, bir görüntü elde edilir veya oluşturulur. bir format dosyasında sabit disk:

  • dd
  • resim
  • ed01
  • çiğ

Diskin bölümleriyle veya daha sonra yeniden oluşturulabilecek tüm bölümle bir görüntü oluşturabiliriz.

Avantajlarından biri, görüntü yakalamanın sonunda, yazılımın, verilerin bütünlüğünü doğrulamak için kullanılacak bir MD5 karma anahtarı hesaplayıp oluşturması ve oluşturduğumuz görüntünün, herhangi bir minimum değişiklikten dolayı değiştirilmemesidir. görüntü dosyasında güvenlik kodunu değiştirecek ve orijinaliyle eşleşmeyecektir.

FTK Imager, adli bilişim uzmanları tarafından yaygın olarak kullanılmaktadır. çünkü bir cihazdan veri yakalamanıza, verilerin bir görüntüsünü oluşturmanıza ve ardından daha ayrıntılı bir analizin garanti edilip edilmediğini belirlemek için dijital kanıtları değerlendirmenize olanak tanır.

FTK Imager, çeşitli görevleri yapmanıza olanak tanır, bunlardan bazıları şunlardır:

  • Sabit sürücülerin adli görüntülerini oluşturun yerel, mantıksal diskler, uzak depolama aygıtları, mobil aygıtlar, flash sürücüler, Zip diskleri, CD'ler ve DVD'ler, tüm klasörler veya çeşitli konumlardan ayrı dosyalar.
  • biz de yapabiliriz Adli görüntülerden içeriği önizleyin ve çıkarın yerel bir bilgisayarda veya bir ağ sürücüsünde depolanır.
  • FTK Imager ayrıca dosyaları ve klasörleri ayrı ayrı ele almak için dışa aktarmamıza da olanak tanır., diskten veya geri dönüşüm kutusundan silinmiş ancak henüz sürücüde üzerine yazılmamış dosyaları görüntüleyin ve kurtarın.
  • Dosyaların ve oluşturduğumuz görüntünün bütünlüğünü sağlamak ve korumak için MD5 ve SHA-1 karmaları oluşturun. Otopsili Sabit Diskler ve Adli Bölmeler eğitiminde gördüğümüz gibi bir görüntü oluşturuyoruz. Aynı FTK Imager'ı bir depolama cihazının görüntüsünü oluşturmak için de kullanabiliriz.

Görüntü, depolama aygıtında bulunan verilerin yanlışlıkla veya kasıtlı olarak değiştirilmesini önlemek için depolama aygıtının tamamının veya bir kısmının bir kopyasıdır, FTK Imager, parça parça kopyalayarak bir görüntü oluşturur, bir dosyada ortaya çıkan görüntü, alan, ünitenin konfigürasyonu ve geçici olsa bile üniteyi içeren herhangi bir dosya dahil olmak üzere cihazın orijinal yapısıyla aynıdır. Bu, cihazın görüntüsünü kullanarak daha sonra araştırmak için bu verilerin güvenli bir yerde saklanmasını sağlar.

Yükleyiciyi AccessData'nın resmi web sitesinden indirdikten ve yalnızca Windows'ta çalışan programın kurulumuna devam ettikten sonra.

Bir cihazın görüntüsünü oluşturun


Seçenekten aynı yazılım ile imajı oluşturabiliriz. Disk Görüntüsü Oluştur.

Linux'tan şunu kullanabiliriz: dd komutu belirli bir sürücü veya klasörün görüntüsünü aşağıdaki gibi oluşturmak için: 

 sudo dd if = / dev / = / home / myuser / file copy.dd bölümü
FTK Imager'dan oluşturduğumuz görüntüye sahip olduğumuzda, menüden kanıt dosyasını eklemeliyiz. Dosya, Kanıt Ekle.

Bu ders için bir flash belleğe ait bir görüntümüz olacak.

Daha sonra görüntünün ne tür bir birime ait olduğunu belirtmeliyiz, eğer fiziksel birim, mantıksal birim veya görüntü dosyası ise bu durumda görüntü dosyasını seçip üzerine tıklıyoruz. Sonraki.

Sonra görüntüyü göreceğiz ve dizinlerinde ve dosyalarında gezinebileceğiz, özelliklerini, hangi işletim sistemini kurduğunu bileceğiz.

Ardından sanal diski fiziksel disk olarak analiz edebiliyoruz, bu şekilde içerdiği her şey, silinen dosyalar da dahil olmak üzere görülebilir veya kurtarılabilir.

Örnekte bazı elektronik tablo dosyalarını nasıl kurtarabileceğimizi görebiliriz. Üniteyi opsiyondan bile monte edebiliriz Dosya> Resmi Bağla, bir kez monte edildiğinde, görüntü bir başka disk sürücüsü gibi olacaktır.

Burada, üniteyi monte ederken F sürücüsünde göründüğünü görebiliriz, şimdi bir sanal disk sürücüsü olarak elimizde var ve indirebileceğimiz PhotoRec (bu makalenin 7. konumunda var) gibi yazılımları kullanabiliriz. silinen dosyaları kurtarmak için web sitesi yetkilisinden.

FotoğrafREc Kullanımı çok basittir, kurulum gerektirmez, sadece hangi sürücüyü veya bölümü kurtarmak istediğimizi belirtmemiz yeterlidir.

Burada sanal sürücümüz F:'nin disk görüntüsünün içeriğiyle birlikte göründüğünü görebiliriz. Birimi seçiyoruz ve aşağıda kurtarılan dosyaların varsayılan olarak hangi dizine kopyalanacağını belirtiyoruz. recup_dir.

Oluşturduğumuz sanal sürücüden kurtarılan dosyaların uzantılarını görebiliriz, bu kurtarılan dizin fizikseldir, sanal veya mantıksal değildir, bu nedenle dosyalar kalıcı olarak emrimizde olacaktır. Bu yazılım ayrıca exe dosyalarını da kurtardı, bu nedenle sistem için herhangi bir virüs veya tehlikeli yazılım olup olmadığını görmek için onları analiz edebiliriz, bu nedenle bu tür analizleri bir VirtualBox gibi sanal makine.

Arkadaşlarınızla sayfasını paylaşan sitenin gelişimine yardımcı olacak

wave wave wave wave wave

Popüler Mesajlar

wave
1
post-title
Debian 8 kullanıcı hesapları nasıl oluşturulur ve silinir
2
post-title
▷ Bildirimler nasıl etkinleştirilir Xiaomi Mi Watch Lite
3
post-title
Windows 10, 8, 7'nizi kötü amaçlı yazılımlardan ve virüslerden nasıl korursunuz
4
post-title
Windows 10'da son silinen dosyalar nasıl kurtarılır
5
post-title
Sağlık Uygulamasını yapılandırın ve iPhone XR'nin adımları nasıl hesapladığını öğrenin

Tavsiye

wave
- Sponsored Ad -

Editörün Seçimi

wave
- Sponsored Ad -