FTK Imager är en programvara med öppen källkod från AccessData som används för att skapa korrekta kopior av originalbeviset utan att göra några ändringar i det. Bilden av det ursprungliga beviset förblir densamma och gör det möjligt för oss att kopiera data i en mycket snabbare takt, som snart kan bevaras och kan analyseras vidare.
TFTK imager ger dig också den inbyggda integritetskontrollfunktionen som genererar en hash-rapport som hjälper till att matcha hash av beviset före och efter att ha skapat bilden av det ursprungliga beviset.
Innehållsförteckning
- Skapa en kriminalteknisk avbildning
- Fångst av minne
- Analysera avbildningsdump
- Montera avbildningen på en hårddisk
- Anpassad innehållsavbildning med AD. Encryption
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
Låt oss börja med att skapa en bildkopia av det ursprungliga bevismaterialet.
Skapa en forensisk bild
Forensisk bildframställning är ett av de mest avgörande stegen i en digital forensisk undersökning. Det är processen att göra en arkiv- eller säkerhetskopia av hela hårddisken. Det är en lagringsfil som innehåller all nödvändig information för att starta upp operativsystemet. Denna avbildade disk måste dock appliceras på hårddisken för att fungera. Man kan inte återställa en hårddisk genom att placera diskimagefilerna på den eftersom den måste öppnas och installeras på enheten med hjälp av ett avbildningsprogram. En enda hårddisk kan lagra många skivavbildningar på den. Diskavbildningar kan också lagras på flash-enheter med större kapacitet.
Öppna FTK Imager från AccessData efter att ha installerat det, och du kommer att se fönstret pop-up som är den första sidan som det här verktyget öppnas till.
Nu, för att skapa en Disk Image. Klicka på File > Create Disk Image.
Nu kan du välja källa utifrån den enhet du har. Det kan vara en fysisk eller en logisk enhet beroende på dina bevis.
En fysisk enhet är den primära lagringshårdvaran eller komponenten i en enhet, som används för att lagra, hämta och organisera data.
En logisk enhet är i allmänhet ett enhetsutrymme som skapas över en fysisk hårddisk. En logisk enhet har sina parametrar och funktioner eftersom den fungerar självständigt.
Välj nu källan till den enhet som du vill skapa en avbildningskopia av.
Lägg till Målsökväg för den avbildning som ska skapas. Ur kriminalteknisk synvinkel bör den kopieras på en separat hårddisk och flera kopior av originalbeviset bör skapas för att förhindra förlust av bevis.
Välj formatet för den bild som du vill skapa. De olika formaten för att skapa bilden är:
Raw(dd): Det är en bit för bit-kopia av det ursprungliga beviset som skapas utan några tillägg och eller borttagningar. De innehåller inga metadata.
SMART: Det är ett avbildningsformat som användes för Linux och som inte används populärt längre.
E01: Det står för EnCase Evidence File, vilket är ett vanligt förekommande format för bildframställning och liknar
AFF: Det står för Advanced Forensic Format som är en formattyp med öppen källkod.
Nu lägger du till detaljerna för avbildningen för att fortsätta.
Nu lägger du slutligen till avbildningsfilens destination, namnger avbildningsfilen och klickar sedan på Slutför.
När du har lagt till destinationssökvägen kan du nu börja med bildframställningen och även klicka på verifiera alternativet för att generera en hash.
Nu väntar vi några minuter på att avbildningen ska skapas.
När avbildningen har skapats genereras ett Hash-resultat som verifierar MD5 Hash, SHA1 Hash och förekomsten av någon dålig sektor.
Capturing Memory
Det är en metod för att fånga och dumpa innehållet i ett flyktigt innehåll till en icke-flyktig lagringsenhet för att bevara det för vidare undersökning. En ramanalys kan endast genomföras framgångsrikt när insamlingen har utförts korrekt utan att bilden av det flyktiga minnet korrumperas. I den här fasen måste utredaren vara försiktig med sina beslut att samla in de flyktiga uppgifterna eftersom de inte kommer att existera efter att systemet genomgått en omstart.
Nu börjar vi med att fånga minnet.
För att fånga minnet klickar du på File > Capture Memory.
Välj destinationssökväg och destinationsfilnamn och klicka på capture memory.
Nu ska vi vänta några minuter tills rammet fångas.
Analysera bilddump
Nu ska vi analysera Dump RAW-bilden när den har förvärvats med hjälp av FTK-imager. För att påbörja analysen klickar du på File> Add Evidence Item.
Välj nu källan till den dumpfil som du redan har skapat, så här måste du välja alternativet bildfil och klicka på Next.
Välj sökvägen till den bilddump som du har fångat genom att klicka på Bläddra.
När bilddumpfilen är kopplad till analysdelen kommer du att se ett bevisträd med innehållet i filerna i bilddumpfilen. Detta kan ha raderade såväl som överskrivna data.
För att analysera andra saker vidare kommer vi nu att ta bort detta bevismaterial genom att högerklicka på fallet och klicka på Ta bort bevismaterial
Montera avbildningen till en enhet
För att montera avbildningen som en enhet i ditt system, klicka på File > Image Mounting
När fönstret Mount Image to Drive visas kan du lägga till sökvägen till den avbildningsfil som du vill montera och klicka på Mount.
Nu kan du se att avbildningsfilen nu har monterats som en enhet.
Anpassad innehållsavbildning med AD-kryptering
FTK imager har en funktion som gör det möjligt att kryptera filer av en viss typ enligt granskarens krav. Klicka på de filer som du vill lägga till i den anpassade innehållsbilden tillsammans med AD-kryptering.
Alla valda filer kommer att visas i ett nytt fönster och klicka sedan på Skapa bild för att fortsätta.
Fyller du in de uppgifter som krävs för det bevis som ska skapas.
Nu lägger du till destinationen för den bildfil som ska skapas, namnger bildfilen och kryssar sedan i rutan med AD-kryptering och klickar sedan på Slutför.
Ett nytt fönster kommer att dyka upp för att kryptera bilden, renter nu och ange på nytt det lösenord som du vill lägga till för bilden.
Nu kan du se de krypterade filerna genom att klicka på File> Add Evidence Item…
Fönstret för att dekryptera de krypterade filerna kommer att dyka upp när du har lagt till filkällan. Ange lösenordet och klicka på OK.
Du kommer nu att se de två krypterade filerna när du anger de giltiga lösenorden.
Decrypt AD1 Image
För att dekryptera den anpassade innehållsbilden klickar du på File> Decrypt AD1 Image.
Nu måste du ange lösenordet för bildfilen som krypterades och klicka på Ok.
Vänta nu några minuter tills den dekrypterade bilden har skapats.
För att visa den dekrypterade bilden med anpassat innehåll lägger du till sökvägen för den dekrypterade filen och klickar på Avsluta.
Du kommer nu att kunna se de krypterade filerna genom att använda rätt lösenord för att dekryptera den.
Hämta skyddade filer
Vissa filer är skyddade vid återställning, för att hämta dessa filer klickar du på File> Obtain Protected Files
Ett nytt fönster öppnas och du klickar på bläddra för att lägga till destinationen för filen som är skyddad och klickar på alternativet där det står password recovery and all registry files och klickar på OK.
Nu ser du alla skyddade filer på ett ställe
Detektera EFS-kryptering
När en mapp eller en fil är krypterad kan vi detektera det med hjälp av denna funktion i FTK Imager.
En fil krypteras i en mapp för att säkra dess innehåll.
För att upptäcka EFS-krypteringen klickar du på File >Detect EFS Encryption
Du kan se att krypteringen upptäcks.
Exportera filer
Om du vill exportera filerna och mapparna från den avbildade filen till din mapp kan du klicka på File > Export Files.
Du kan nu se resultatet av exporten av antalet filer och mappar som har kopierats till systemet.
Author: Jeenali Kothari är en entusiast av digital kriminalteknik och tycker om att skriva tekniskt innehåll. Du kan nå henne på Här