一、FTK Imager制作镜像详细教程

1、文件-创建磁盘镜像

2、参数详解：

1）物理驱动器

整个驱动器，如：识别到的是整块硬盘、U盘等，而不管你分几个分区；

2）逻辑驱动器（L）

分区，如：一块硬盘分C盘、D盘等；

3）映像文件（I）

镜像文件，如：DD、E01等镜像文件；

4）文件夹内容（F）

文件夹，就是可对文件夹做出镜像；

5）Fernico设备（多个CD/DVD）(D)

对光盘做镜像；

3、选择需要做镜像的硬盘

可以看到我这里有两块硬盘，1个是自己电脑上的硬盘1TB的，1个是我用来做测试的U盘。

4、选择镜像类型

DD是不压缩的原始镜像格式，原始硬盘多大，它做出来的镜像就多大；E01是压缩格式。

5、填写案件信息（可选）

全部是非可选项，可直接忽略

6、设置镜像参数

7、镜像验证设置（可选）

勾选”创建后验证映像（V）“，校验比对镜像的哈希值；

勾选“预计算进度统计数据（P）“，可实时显示镜像制作的进度；

勾选”为映像中所有已创建的文件创建目录列表（D）“，为镜像中的所有已创建到的文件新建一个目录列表文档，方便查看；

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

8、镜像制作完成

由于选择了分卷，所以制作出来的镜像如下图：

二、FTK Imager制作内存镜像

1、菜单栏或工具栏点击内存捕获按钮制作内存镜像。

2、填写镜像存储路径、镜像名；以及可选项：包括页信息、创建AD1文件。

3、内存镜像完成

内存镜像并不一定就等于内存条容量的大小，而是取决于自身内存大小+进程占用内存的数据大小；如本机内存16G，但电脑开着非常多的应用，占用非常大的内存，制作的内存镜像达到19G。

制作完成：

4、镜像文件与页信息文件

三、FTK Imager挂载磁盘镜像教程

1、路径：文件->Image Mounting

2、镜像挂载前

填写"镜像路径"->选择"挂载模式"（图中选择的是"只读"模式）->点击"Mount"（挂载）按钮。

如果是系统镜像需要仿真，则挂载模式要选择"可读写"（虚拟写）模式。

3、镜像挂载后

 点击"mount"按钮，镜像开始挂载，挂载成功后会出现驱动器号和分区类型等。在这里就可以看到磁盘镜像的文件格式、操作系统等参数。

4、镜像挂载注意事项

镜像挂载的时候可能会显示失败，但可能是成功的，以实际挂载本地磁盘显示为主！

Linux、mac等镜像目前还无法直接挂载在Windows电脑查看，但可通过软件分析看数据内容。

挂载成功后就可以在文件管理器看到挂载的盘符了，因为这次挂载的是Linux的镜像，目前Windows还无法直接显示Linux的文件系统，所有看不到盘的数据内容，有时候还会提示请"格式化磁盘"，关闭弹窗就好。

四、FTK imager数据恢复功能

1、先把硬盘镜像挂载到本地，然后再选择本地磁盘/分区

加载镜像到本地

添加证据项

恢复数据（前面打×的就是删除恢复的数据）

2、直接加载镜像文件，不再挂载本地恢复

右键导出文件：