Analizirajte sliku diska pomoću FTK Imagera

Analizirajte sliku diska pomoću FTK Imagera

FTK Imager, to je softver koji se koristi za stvaranje datoteka slike diska ili montiranje slika diska ili uređaja za pohranu, a zatim možemo izvesti analiza strukture diska, oporavak podatakaitd. Ovaj softver dopušta locirati izgubljene datoteke ili tražiti podatke skeniranjem slike diska pomoću ključnih riječi.

Pomoću softvera dobiva se ili stvara slika a tvrdi disk u datoteci formata:

  • dd
  • img
  • ed01
  • sirovo

Možemo stvoriti sliku s dijelovima diska ili s cijelom particijom koja se kasnije može obnoviti.

Jedna od prednosti je ta što na kraju snimanja slike softver izračunava i generira MD5 ključ za raspršivanje koji će se koristiti za potvrdu integriteta podataka i što slika koju smo stvorili nije promijenjena, budući da su minimalne promjene u datoteci slike promijenit će sigurnosni kod i neće se podudarati s izvornikom.

FTK Imager naširoko koriste forenzički računalni stručnjaci jer vam omogućuje snimanje podataka s uređaja, stvaranje slike podataka, a zatim procjenu digitalnih dokaza kako bi se utvrdilo je li potrebna detaljnija analiza.

FTK Imager omogućuje vam obavljanje različitih zadataka, neki od njih su sljedeći:

  • Stvorite forenzičke slike tvrdih diskova lokalni, logički diskovi, udaljeni uređaji za pohranu, mobilni uređaji, flash pogoni, Zip diskovi, CD -i i DVD -i, cijele mape ili pojedinačne datoteke s različitih lokacija.
  • Možemo i mi pregledajte i izvucite sadržaj iz forenzičkih slika pohranjene na lokalnom računalu ili na mrežnom pogonu.
  • FTK Imager nam također omogućuje izvoz datoteka i mapa za pojedinačno postupanje s njima, pregledati i oporaviti datoteke koje su izbrisane s diska ili korpe za otpatke, ali još nisu prepisane na pogonu.
  • Izradite MD5 i SHA-1 raspršivanja kako biste osigurali i očuvali integritet datoteka i slike koju generiramo. Stvaramo sliku kakvu smo vidjeli u vodiču Forenzika tvrdih diskova i particija s obdukcijom. Isti FTK Imager možemo koristiti i za stvaranje slike uređaja za pohranu.

Slika je kopija cijelog ili dijela uređaja za pohranu radi sprječavanja slučajne ili namjerne izmjene podataka koji postoje na uređaju za pohranu, FTK Imager napravi sliku kopiranjem bit po bit, rezultirajuća slika u datoteci identična je izvornoj strukturi uređaja, uključujući prostor, konfiguraciju jedinice i bilo koju datoteku koja sadrži jedinicu, čak i ako je privremena. To omogućuje spremanje ovih podataka na sigurno mjesto za kasniju istragu pomoću slike uređaja.

Nakon preuzimanja instalacijskog programa sa službene web stranice AccessData i nastavka instalacije programa koji radi samo u sustavu Windows.

Stvorite sliku uređaja


Sliku možemo stvoriti istim softverom iz opcije Stvorite sliku diska.

Iz Linuxa možemo koristiti naredba dd za stvaranje slike određenog pogona ili mape, kako slijedi: 

 sudo dd if = / dev / particija = / home / myuser / file copy.dd
Kad imamo sliku stvorenu iz FTK Imagera, moramo dodati datoteku dokaza iz izbornika Datoteka, dodaj dokaze.

Za ovaj vodič ćemo imati sliku koja pripada flash memoriji.

Zatim moramo naznačiti kojoj vrsti jedinice slika pripada, ako se radi o fizičkoj jedinici, logičkoj jedinici ili datoteci slike, u ovom slučaju odabiremo datoteku slike i kliknemo na Sljedeći.

Tada ćemo vidjeti sliku i moći ćemo se kretati njezinim direktorijima i datotekama, znati njezine karakteristike, koji operativni sustav je instalirao.

Tada smo u mogućnosti analizirati virtualni disk kao fizički disk, na taj način se sve što sadrži, uključujući izbrisane datoteke, može vidjeti ili oporaviti.

U primjeru možemo vidjeti kako možemo oporaviti neke datoteke proračunskih tablica. Jedinicu čak možemo montirati iz dodatne opcije Datoteka> Montiraj sliku, kad se jednom montira, slika će biti poput još jednog diskovnog pogona.

Ovdje možemo vidjeti da se prilikom ugradnje jedinice pojavljuje u pogonu F:, sada imamo na raspolaganju kao virtualni disk i možemo koristiti softver poput PhotoRec (Imate ga na poziciji 7 ovog članka), koji možemo preuzeti sa službene web stranice za oporavak izbrisanih datoteka.

PhotoREc Vrlo je jednostavan za korištenje, ne zahtijeva instalaciju, samo moramo naznačiti koji pogon ili particiju želimo oporaviti.

Ovdje možemo vidjeti da se naš virtualni pogon F: pojavljuje sa sadržajem slike diska. Odabiremo jedinicu, a zatim u nastavku označavamo u koji će se direktorij po zadanom kopirati oporavljene datoteke recup_dir.

Možemo vidjeti proširenja datoteka oporavljenih s virtualnog pogona koji smo stvorili, ovaj oporavljeni direktorij je fizički, nije virtualni ili logičan, pa ćemo datoteke imati na raspolaganju stalno. Ovaj softver je također oporavio exe datoteke, pa bismo ih mogli analizirati kako bismo vidjeli ima li virusa ili opasnog softvera za sustav, pa je bolje pokrenuti ovu vrstu analize u virtualni stroj poput VirtualBox -a.

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Chromeov sustav Windows 10 treperi na ekranu - Nvidia, Asus, Dell itd. - RIJEŠENJE
2
post-title
▷ Obnova administratorske lozinke Windows 10 ✔️
3
post-title
3D rotirajući animirani s CSS3
4
post-title
Ispravite pogrešku DNS PROBE FINISHED BAD CONFIG u sustavu Windows 10
5
post-title
▷ Kako instalirati Netflix Xbox Series X ili Xbox Series S

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -