取证之FTK Imager学习笔记

一、FTK Imager制作镜像详细教程

1、文件-创建磁盘镜像

2、参数详解:

1)物理驱动器

整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;

2)逻辑驱动器(L)

分区,如:一块硬盘分C盘、D盘等;

3)映像文件(I)

镜像文件,如:DD、E01等镜像文件;

4)文件夹内容(F)

文件夹,就是可对文件夹做出镜像;

5)Fernico设备(多个CD/DVD)(D)

对光盘做镜像;

3、选择需要做镜像的硬盘

可以看到我这里有两块硬盘,1个是自己电脑上的硬盘1TB的,1个是我用来做测试的U盘。

4、选择镜像类型

DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。

5、填写案件信息(可选)

全部是非可选项,可直接忽略

6、设置镜像参数

7、镜像验证设置(可选)

勾选”创建后验证映像(V)“,校验比对镜像的哈希值;

勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;

勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;

开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。

8、镜像制作完成

由于选择了分卷,所以制作出来的镜像如下图:

二、FTK Imager制作内存镜像

1、菜单栏或工具栏点击内存捕获按钮制作内存镜像。

2、填写镜像存储路径、镜像名;以及可选项:包括页信息、创建AD1文件。

3、内存镜像完成

内存镜像并不一定就等于内存条容量的大小,而是取决于自身内存大小+进程占用内存的数据大小;如本机内存16G,但电脑开着非常多的应用,占用非常大的内存,制作的内存镜像达到19G。

制作完成:

4、镜像文件与页信息文件

三、FTK Imager挂载磁盘镜像教程

1、路径:文件->Image Mounting

2、镜像挂载前

填写"镜像路径"->选择"挂载模式"(图中选择的是"只读"模式)->点击"Mount"(挂载)按钮。

如果是系统镜像需要仿真,则挂载模式要选择"可读写"(虚拟写)模式。

3、镜像挂载后

 点击"mount"按钮,镜像开始挂载,挂载成功后会出现驱动器号和分区类型等。在这里就可以看到磁盘镜像的文件格式、操作系统等参数。

4、镜像挂载注意事项

镜像挂载的时候可能会显示失败,但可能是成功的,以实际挂载本地磁盘显示为主!

Linux、mac等镜像目前还无法直接挂载在Windows电脑查看,但可通过软件分析看数据内容。

挂载成功后就可以在文件管理器看到挂载的盘符了,因为这次挂载的是Linux的镜像,目前Windows还无法直接显示Linux的文件系统,所有看不到盘的数据内容,有时候还会提示请"格式化磁盘",关闭弹窗就好。

四、FTK imager数据恢复功能

1、先把硬盘镜像挂载到本地,然后再选择本地磁盘/分区

加载镜像到本地

添加证据项

恢复数据(前面打×的就是删除恢复的数据)

2、直接加载镜像文件,不再挂载本地恢复

右键导出文件:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/890932.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

深入理解Transformer的笔记记录(精简版本)NNLM → Word2Vec

文章的整体介绍顺序为: NNLM → Word2Vec → Seq2Seq → Seq2Seq with Attention → Transformer → Elmo → GPT → BERT 自然语言处理相关任务中要将自然语言交给机器学习中的算法来处理,通常需要将语言数学化,因为计算机机器只认数学符号。向量是人把自然界的东西抽象出…

Redis 实现 查找附近的人 功能

文章目录 概述Redis 中 Geospatial(地理位置)Demo例子总结 概述 使用 Redis 实现“查找附近的人”功能,通常会依赖 Redis 的 Geo(地理位置) 数据类型来存储用户的经纬度,并基于此进行地理范围查询。Redis …

ChatTTS在Windows电脑的本地部署与远程生成音频详细实战指南

文章目录 前言1. 下载运行ChatTTS模型2. 安装Cpolar工具3. 实现公网访问4. 配置ChatTTS固定公网地址 前言 本篇文章主要介绍如何快速地在Windows系统电脑中本地部署ChatTTS开源文本转语音项目,并且我们还可以结合Cpolar内网穿透工具创建公网地址,随时随…

低代码开发技术:驱动MES系统创新与制造业数字化转型的融合之路

低代码开发与生产管理MES系统的融合,是当今制造业数字化转型的一个重要趋势。以下是对这一融合现象的详细分析: 一、低代码开发的概念与特点 低代码开发是一种通过图形化界面和预构建模块来简化应用程序开发过程的方法。它允许开发人员使用拖放组件和最…

请确保已在git上配置你的user.name和user.email

问题:使用vscode在远程服务器上暂存修改报错: 原因:未在远程服务器上配置该项目对应的git的username和useremail 解决方法: 在vscode中新建一个终端 命名: git config --global user.email "youexample.com&qu…

【读书笔记·VLSI电路设计方法解密】问题12:制造MOSFET晶体管的主要工艺步骤是什么

VLSI芯片是在半导体材料上制造的,这种材料的导电性介于绝缘体和导体之间。通过一种称为掺杂的工艺引入杂质,可以改变半导体的电气特性。能够在半导体材料的细小且定义明确的区域内控制导电性,促使了半导体器件的发展。结合更简单的无源元件(电阻、电容和电感),这些器件被…

【Python】Conda离线执行命令

以下链接证明了想要离线使用conda命令的方法 启用离线模式 — Anaconda documentation 基本上大部分的命令都会提供网络选项 例如creat命令 conda create — conda 24.7.1 文档 - Conda 文档

Anthropic CEO 万字长文:我认为AGI最早会在 2026 年出现,机器可以像人类一样协助办公

在 Claude AI 新模型发布之际,Anthropic 的CEO Dario Amodei 发表了一篇近2万字深度长文,探讨人工智能对人类的潜在积极影响。作为斯坦福大学神经科学博士,Amodei 以严谨的学术态度定义了强人工智能概念,并详细阐述了它在不同核心…

打破常规,BD仓储物流的效能提升!

当前,随着国家战略的推进,JS与民用领域的融合不断加深,物流业也步入了军民融合的新时代。在智能仓储物流方面,JS物流的智能化进展受到了BD系统的高度关注和重视。 一、建设JS仓储物流RFID基础设施 JS物流领域引入RFID技术的基础工…

MySQL表的基本查询上

1,创建表 前面基础的文章已经讲了很多啦,直接上操作: 非常简单!下一个! 2,插入数据 1,全列插入 前面也说很多了,直接上操作: 以上插入和全列插入类似,全列…

概率 期望与方差

一、期望 1、定义 对随机变量可能取值的加权平均,其中权重是每个可能取值的概率。用E表示,如x是随机变量,则该期望为EX 2、离散型随机变量的期望 对于离散随机变量 X ,其可能的取值为 x1,x2,…,xn,对应的概率为 E(X)…

MOS管的电路应用

MOS管的电路应用 MOS管的选型参考 1、MOS管类型 一般选择增强型NMOS管,同等工艺条件下,导通电阻Ron更小,发热更低,允许通过的电流更大,型号也更多。 2、Vgs电压 需要考虑开启电压,驱动电压,极…

基于WebSocket实现简易即时通讯功能

代码实现 pom.xml <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency><groupId>org.springframework.boot</groupId><artifa…

SQL 干货 | 使用 Having 子句筛选聚合字段

如果你编写 SQL 查询已有一段时间&#xff0c;那么你可能对 WHERE 子句非常熟悉。虽然它对聚合字段没有影响&#xff0c;但有一种方法可以根据聚合值过滤记录&#xff0c;那就是使用 HAVING 子句。本博客将介绍它的工作原理&#xff0c;并提供几个在 SELECT 查询中使用它的示例…

Redis-缓存一致性

缓存双写一致性 更新策略探讨 面试题 缓存设计要求 缓存分类&#xff1a; 只读缓存&#xff1a;&#xff08;脚本批量写入&#xff0c;canal 等&#xff09;读写缓存 同步直写&#xff1a;vip数据等即时数据异步缓写&#xff1a;允许延时&#xff08;仓库&#xff0c;物流&a…

C语言练习

题目&#xff1a; 1.编写一段C语言&#xff0c;向下边这样输入2个整数&#xff0c;如果他们的差值小于等于10&#xff0c;则显示“它们的差值小于等于10”&#xff0c;否则显示“它们的差大于等于11”. 请输入两个整数&#xff1a; 整数A&#xff1a;12 整数B&#xff1a;7…

SQL分类中的DDL

DDL&#xff08;Data Definition Language):数据定义语言&#xff0c;用来定义数据库对象&#xff08;数据库&#xff0c;表&#xff0c;字段&#xff09;。 一、DDL语句操作数据库 1、查询所有数据库&#xff1a;show databases&#xff1b;&#xff08;一般用大写&#xff…

spring |Spring Security安全框架 —— 认证流程实现

文章目录 开头简介环境搭建入门使用1、认证1、实体类2、Controller层3、Service层3.1、接口3.2、实现类3.3、实现类&#xff1a;UserDetailsServiceImpl 4、Mapper层3、自定义token认证filter 注意事项小结 开头 Spring Security 官方网址&#xff1a;Spring Security官网 开…

React路由 基本使用 嵌套路由 动态路由 获取路由参数 异步路由 根据配置文件来生成路由

文章目录 React-router的三个版本react-router使用嵌套路由动态路由 获取路由参数Params参数Query参数Location信息 控制跳转地址异步路由根据配置文件生成路由 React-router的三个版本 React-router 服务端渲染使用React-router-dom 浏览器端渲染使用React-router-native Rea…

API项目3:API签名认证

问题引入 我们为开发者提供了接口&#xff0c;却对调用者一无所知 假设我们的服务器只能允许 100 个人同时调用接口。如果有攻击者疯狂地请求这个接口&#xff0c;那是很危险的。一方面这可能会损害安全性&#xff0c;另一方面耗尽服务器性能&#xff0c;影响正常用户的使用。…