AccessData FTK Imager是一款镜像制作软件,可以帮助用户进行镜像文件的制作,软件可以加载各种格式的镜像文件,在加载之后你可以在软件中对镜像的内容进行查看,你还可以加载后进行编辑和修改,还能对镜像进行测试,确保成品资源可用。
支持 raw E01 dd 等各种镜像文件,是免费的一款工具。可挂载镜像,创建镜像文件。本版本为安装版,不是绿色版,需要安装后才能使用。支持E01、DD、L01、DMG、VMDK、VHD、AD1等几十种镜像格式,使用过程中几乎没有遇到挂在不了的镜像格式。支持获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。
软件特色
数字取证
全面了解所发生的事情以及涉及的人员。 凭借我们的数字取证专业知识,AccessData 为您提供了帮助您分析计算机、移动设备和网络通信的工具。 当你知道更多时,你可以做更多。
收集与分析
想要以更低的成本和更少的资源处理最大规模的收集需求吗? 需要降低风险或确保合规性? AccessData 的有针对性的、可靠的收集、保存、保留、处理和数据评估工具可降低成本并降低风险。
风险与合规
通过强大的、经过验证的企业搜索、取证收集和分析来查找企业端点的信息风险并销毁它们,以定位数据并评估合规性。 通过修复来阻止风险,使您能够删除违规文件、终止进程并停止跨端点的不合规活动。
改中文方法
在软件中用户可以进行镜像取证,但是软件默认是英文界面,很多的用户英语水平不足的话,就会在使用过程中遇到问题,用户可以通过以下小编提供的方法对软件的语言进行修改,让用户可以更好的使用软件。
1、新建txt
2、写入下面代码
3、改后缀为.reg,双击运行即可汉化
中英文切换对照
需要切换回英文的话,“CHS”改为“ENU”,再次运行即可。
如何做镜像
这款软件的主要功能就是镜像的制作,很多的用户不知道怎么利用这款软件进行镜像制作,下面小编为大家带来对应的方法介绍,感兴趣的用户快来看看吧。
(一)选择源证据类型
1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)
1)物理驱动器(P)
整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;
2)逻辑驱动器(L)
分区,如:一块硬盘分C盘、D盘等;
3)映像文件(I)
镜像文件,如:DD、E01等镜像文件;
4)文件夹内容(F)
文件夹,就是可对文件夹做出镜像;
5)Fernico设备(多个CD/DVD)(D)
对光盘做镜像;
(二)选择需要做的磁盘
通过源驱动选择,可在选项处下拉,找到需要做镜像的驱动器,点击完成;此处以30GB的SanDisk U盘作镜像测试。
(三)选择镜像类型
考虑取证时间和存储容量成本,一般建议制作E01镜像,这里以DD镜像来演示,其他类推。
DD是不压缩的原始镜像格式,原始硬盘多大,它做出来的镜像就多大;E01是压缩格式。
(四)填写案件信息(可选)
案件编号、证据编号、唯一描述、检查员、备注(全部都是非必填项);
(五)设置镜像参数!
1、镜像保存位置、镜像名
选择镜像存储位置、自定义镜像名;
2、是否分卷!!!
这是比较容易忽略的地方,不想镜像分卷的记得在此处填写”0“!!!
FTK Imager默认镜像分卷大小为1500MB;
RAW镜像、E01和AFF填:0=不分卷;
默认分卷
不分卷
3、加密设置(可选)
对镜像进行加密,密码自行设置。
4、镜像验证设置(可选)
勾选”创建后验证映像(V)“,校验比对镜像的哈希值;
勾选“预计算进度统计数据(P)“,可实时显示镜像制作的进度;
勾选”为映像中所有已创建的文件创建目录列表(D)“,为镜像中的所有已创建到的文件新建一个目录列表文档,方便查看;
开始制作镜像、勾选预计算进度统计数据后可实时显示镜像制作的进度。
5、镜像制作完成
挂载磁盘镜像教程
在软件中你还可以磁盘镜像的挂载,直接外接一个磁盘,让你可以更轻松的扩充自己的磁盘,下面小编为大家带来磁盘镜像的挂载方法介绍,感兴趣的用户快来看看吧。
1、路径:文件->Image Mounting
2、镜像挂载前
填写“镜像路径”->选择“挂载模式”(图中选择的是“只读”模式)->点击“挂载”按钮。
如果需要仿真系统,则挂载模式要选择“可读写”(虚拟写)模式。
3、镜像挂载后
点击“mount”按钮,镜像开始挂载,挂载成功后会出现驱动器号和分区类型等。在这里就可以看到磁盘镜像的文件格式、操作系统等参数。
4、文件资源管理器查看
挂载成功后就可以在文件管理器看到挂载的盘符了,因为这次挂载的是Linux的镜像,目前Windows还无法直接显示Linux的文件系统,所有看不到盘的数据内容,有时候还会提示请“格式化磁盘”,关闭弹窗就好。
-
1 极客虚拟光驱
装机必备软件
网友评论