Analyzujte obraz disku pomocí FTK Imager

Analyzujte obraz disku pomocí FTK Imager | Bezpečnostní 2024
Analyzujte obraz disku pomocí FTK Imager | Bezpečnostní 2024

FTK Imager, je to software používaný k vytváření obrazových souborů disku nebo připojování obrazů disků nebo úložných zařízení a poté můžeme provádět analýza struktury disku, obnova dat, atd. Tento software umožňuje vyhledejte ztracené soubory nebo vyhledejte data skenováním obrazu disku pomocí klíčových slov.

Pomocí softwaru je získán nebo vytvořen obrázek a pevný disk ve formátu souboru:

  • dd
  • obr
  • ed01
  • drsný

Můžeme vytvořit obraz s částmi disku nebo s celým oddílem, který lze později znovu sestavit.

Jednou z výhod je, že na konci pořizování obrázku software vypočítá a vygeneruje hashovací klíč MD5, který bude použit k potvrzení integrity dat a že námi vytvořený obrázek nebyl změněn, protože jakékoli minimální změny v souboru obrázku změní bezpečnostní kód a nebude odpovídat originálu.

FTK Imager je široce používán forenzními počítačovými experty protože vám umožňuje zachytit data ze zařízení, vytvořit obraz dat a poté vyhodnotit digitální důkaz a určit, zda je nutná podrobnější analýza.

FTK Imager vám umožňuje provádět různé úkoly, z nichž některé jsou následující:

  • Vytvářejte forenzní obrázky pevných disků lokální, logické disky, vzdálená úložná zařízení, mobilní zařízení, flash disky, Zip disky, CD a DVD, celé složky nebo jednotlivé soubory z různých umístění.
  • Můžeme také zobrazit náhled a extrahovat obsah z forenzních obrázků uloženy na místním počítači nebo na síťovém disku.
  • FTK Imager nám také umožňuje exportovat soubory a složky a zacházet s nimi jednotlivě, zobrazte a obnovte soubory, které byly vymazány z disku nebo z koše, ale dosud nebyly na jednotce přepsány.
  • Vytvořte hash MD5 a SHA-1, abyste zajistili a zachovali integritu souborů a obrázku, který generujeme. Vytvoříme obrázek, jak jsme viděli v tutoriálu Hard Drives and Partitions Forensics with Autopsy. Stejný FTK Imager můžeme použít také k vytvoření obrazu paměťového zařízení.

Obrázek je kopie celého paměťového zařízení nebo jeho části, aby se zabránilo nechtěné nebo úmyslné změně dat, která na úložném zařízení existují, FTK Imager vytvoří obrázek kopírováním kousek po kousku, výsledný obraz v souboru, je identický s původní strukturou zařízení, včetně prostoru, konfigurace jednotky a jakéhokoli souboru, který obsahuje jednotku, i když byl dočasný. To umožňuje, aby byla tato data uložena na bezpečném místě pro pozdější vyšetřování pomocí obrázku zařízení.

Po stažení instalačního programu z oficiálních webových stránek AccessData a pokračování v instalaci programu, který funguje pouze v systému Windows.

Vytvořte obrázek zařízení


Můžeme vytvořit obrázek stejným softwarem z možnosti Vytvořit obraz disku.

Z Linuxu můžeme použít dd příkaz Chcete -li vytvořit obrázek konkrétní jednotky nebo složky, postupujte takto: 

 sudo dd if = / dev / partition of = / home / myuser / file copy.dd
Když máme obrázek vytvořený z FTK Imager, musíme přidat důkazní soubor z nabídky Soubor, Přidat důkaz.

Pro tento tutoriál budeme mít obrázek patřící do flash paměti.

Dále musíme uvést, ke kterému typu jednotky obrázek patří, pokud se jedná o fyzickou jednotku, logickou jednotku nebo soubor obrázku, v tomto případě vybereme soubor obrázku a klikneme na další.

Poté uvidíme obrázek a budeme moci procházet jeho adresáře a soubory, znát jeho vlastnosti, jaký operační systém měl nainstalován.

Pak jsme schopni analyzovat virtuální disk jako fyzický disk, takže vše, co obsahuje, včetně odstraněných souborů, lze vidět nebo obnovit.

V příkladu vidíme, jak můžeme obnovit některé soubory tabulky. Z této možnosti můžeme dokonce namontovat jednotku Soubor> Připojit obrázekPo připojení bude obraz vypadat jako další disková jednotka.

Zde vidíme, že při montáži jednotky se objeví na jednotce F:, nyní ji máme k dispozici jako virtuální diskovou jednotku a můžeme použít software, jako je PhotoRec (Máte jej na pozici 7 tohoto článku), který si můžeme stáhnout ze svých oficiálních webových stránek obnovit smazané soubory.

PhotoREc Používání je velmi jednoduché, nepotřebuje instalaci, jen musíme určit, kterou jednotku nebo oddíl chceme obnovit.

Zde vidíme, že se naše virtuální jednotka F: zobrazí s obsahem obrazu disku. Vybereme jednotku a poté níže uvedeme, do kterého adresáře budou ve výchozím nastavení zkopírovány obnovené soubory recup_dir.

Můžeme vidět přípony souborů obnovených z virtuální jednotky, kterou jsme vytvořili, tento obnovený adresář je fyzický, není virtuální ani logický, takže soubory budeme mít trvale k dispozici. Tento software také obnovil soubory exe, takže je můžeme analyzovat, abychom zjistili, zda nejsou viry nebo nebezpečným softwarem pro systém, takže je lepší spustit tento typ analýzy v virtuální stroj jako VirtualBox.

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Jak odinstalovat hry Xbox Series X nebo Xbox Series S
2
post-title
Nejlepší aplikace pro zvýšení produktivity
3
post-title
▷ Změňte heslo Debianu 11 Reset
4
post-title
Jak vidět a znát verzi Debianu
5
post-title
Co je Ransomware (mimo jiné WannaCry) a jak se chránit

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -