【电子取证篇】FTK Imager取证教程合集，看这一篇也够了

FTK Imager不但可以制作镜像、挂载镜像、分析镜像，还有数据恢复等，功能还是很多的，有兴趣的自己多实验吧，目前一样先做个合集，入门足够了

0

目录

（一）FTK Imager中文设置教程

（二）FTK Imager制作镜像详细教程

（三）FTK Imager制作内存镜像

（四）FTK Imager挂载磁盘镜像教程

（五）浅谈FTK Imager数据恢复功能

（六）FTK Imager单文件版共享

1

（一）

FTK Imager一款功能强大的镜像取证工具，但默认是不支持语言切换功能的，对于大部分人，尤其是新入门的小伙伴来说，还是中文界面看着更得心应手些，下面提供一个简单的方法，那就是修改“注册表”，一键就可以切换为中文-

1

FTK Imager中文界面

2

汉化、切换中文步骤

【改后缀为.reg，双击运行即可汉化！！！】 

3

中英文切换对照

4

注册表知识扩展

HKEYCURRENT_USER：当前登录用户的配置文件，包括当前登录用户的配置信息，环境变量，个人程序以及桌面设置等。

HKEYCURRENT_USER\SOFTWARE：保存着与这台电脑中安装的应用程序相关的设置。

2

（二）

以DD镜像制造为例，详细介绍了FTK Imager创建镜像的过程，记得大学的时候学习这些没什么教程，找到的资料也是语焉不详，故在此啰嗦一番---【蘇小沐】

1

选择源证据类型

整个驱动器，如：识别到的是整块硬盘、U盘等，而不管你分几个分区；

2）逻辑驱动器（L）

分区，如：一块硬盘分C盘、D盘等；

镜像文件，如：DD、E01等镜像文件；

4）文件夹内容（F）

文件夹，就是可对文件夹做出镜像；

5）Fernico设备（多个CD/DVD）(D)

对光盘做镜像；

2

选择需要做的磁盘

3

选择镜像类型

DD是不压缩的原始镜像格式，原始硬盘多大，它做出来的镜像就多大；E01是压缩格式。

4

填写案件信息（可选）

 案件编号、证据编号、唯一描述、检查员、备注（全部都是非必填项）；

5

设置镜像参数！ 

镜像保存位置、镜像名

选择镜像存储位置、自定义镜像名；

是否分卷！！！

这是比较容易忽略的地方，不想镜像分卷的记得在此处填写”0“！！！

【FTK Imager默认镜像分卷大小为1500MB；

RAW镜像、E01和AFF填：0=不分卷；】

 默认分卷

不分卷

6

加密设置（可选）

 对镜像进行加密，密码自行设置。

7

镜像验证设置（可选）

勾选”创建后验证映像（V）“，校验比对镜像的哈希值；

勾选“预计算进度统计数据（P）“，可实时显示镜像制作的进度；

勾选”为映像中所有已创建的文件创建目录列表（D）“，为镜像中的所有已创建到的文件新建一个目录列表文档，方便查看；

8

镜像制作完成

9

证据信息记录

 【目录列表】显示镜像中所有文件，包括文件名、文件路径、文件大小、时间、删除状态等。

10

记录文本

11

文本翻译

Created By AccessData® FTK® Imager 4.5.0.3 

Case Information: //案件信息: 

Acquired using: ADI4.5.0.3 //采集方式: 

Case Number: NDASH //案件编号: 

Evidence Number: NDASH //证据编号:

Unique Description: NDASH //唯一描述: 

Examiner: suy //检查员:

Notes: NDASH--------------------------------------- //备注:

Information for E:\NDASH\NDASH: //镜像保存位置

Physical Evidentiary Item (Source) Information: //物理证据项目（源）信息：

[Device Info] //[设备信息]

Source Type: Physical //源类型：物理驱动器

[Drive Geometry] //[驱动器几何参数]

Cylinders: 3,740  //柱面数: 

Tracks per Cylinder: 255    //每柱面磁道数: 

Sectors per Track: 63 //每磁道扇区数: 

Bytes per Sector: 512  //每扇区字节数: 

Sector Count: 60,088,320 //扇区数:

[Physical Drive Information] //[物理驱动器信息]

 Drive Model: SanDisk Cruzer Blade USB Device //驱动器型号: 

 Drive Serial Number:4C530000050507222113 //设备驱动器序列号: 

 Drive Interface Type: USB  //驱动器接口类型:

 Removable drive: 正确 //可移动驱动器:

 Source data size: 29340 MB //源数据大小:

 Sector count: 60088320      //扇区数:

[Computed Hashes]          //[计算散列值]

 MD5 checksum: 9aeaeefe1dfe8d5028c13a3142af2d20       //MD5校验和

 SHA1 checksum: 0f89d75be3150ef7d9351975a0c1589ca279452c  //SHA1校验和

Image Information: //镜像信息

 Acquisition started:   Thu Nov 26 17:24:03 2020 //制作开始时间

 Acquisition finished:  Thu Nov 26 17:44:22 2020 //制作完成时间

 Segment list: //分卷列表

 E:\NDASH\NDASH.001

 E:\NDASH\NDASH.002

 E:\NDASH\NDASH.003

 E:\NDASH\NDASH.004

 E:\NDASH\NDASH.005

 E:\NDASH\NDASH.006

 E:\NDASH\NDASH.007

 E:\NDASH\NDASH.008

 E:\NDASH\NDASH.009

 E:\NDASH\NDASH.010

 E:\NDASH\NDASH.011

 E:\NDASH\NDASH.012

 E:\NDASH\NDASH.013

 E:\NDASH\NDASH.014

 E:\NDASH\NDASH.015

 E:\NDASH\NDASH.016

 E:\NDASH\NDASH.017

 E:\NDASH\NDASH.018

 E:\NDASH\NDASH.019

 E:\NDASH\NDASH.020

Image Verification Results: //镜像验证结果

 Verification started: Thu Nov 26 17:44:24 2020 //验证开始时间

 Verification finished: Thu Nov 26 17:46:10 2020 //验证完成时间

 MD5 checksum:9aeaeefe1dfe8d5028c13a3142af2d20: verified //MD5校验和

 SHA1 checksum:0f89d75be3150ef7d9351975a0c1589ca279452c: verified //SHA1校验和

主要默认分卷这步容易被忽略，还有后面文本翻译的可能不够准确，见谅！【蘇小沐】

3

（三）

1

菜单栏：文件->捕获内存镜像

 可以从菜单栏或工具栏点击内存捕获按钮制作内存镜像。

2

工具栏：捕获内存镜像图标

 填写镜像存储路径、镜像名；以及可选项：包括页信息、创建AD1文件。

3

内存镜像完成

内存镜像并不一定就等于内存条容量的大小，而是取决于自身内存大小+进程占用内存的数据大小；如本机内存16G，但电脑开着非常多的应用，占用非常大的内存，制作的内存镜像达到19G。

4

镜像文件与页信息文件

4

（四）

以Linux的E01镜像为例，介绍FTK Imager挂载磁盘镜像的步骤---【蘇小沐】

1

磁盘镜像挂载步骤

 【路径：文件->Image Mounting】

2

镜像挂载前

填写"镜像路径"->选择"挂载模式"（图中选择的是"只读"模式）->点击"Mount"（挂载）按钮。

如果是系统镜像需要仿真，则挂载模式要选择"可读写"（虚拟写）模式。

3

镜像挂载后

 点击"mount"按钮，镜像开始挂载，挂载成功后会出现驱动器号和分区类型等。在这里就可以看到磁盘镜像的文件格式、操作系统等参数。

镜像挂载的时候可能会显示失败，但可能是成功的，以实际挂载本地磁盘显示为主！

Linux、mac等镜像目前还无法直接挂载在Windows电脑查看，但可通过软件分析看数据内容。

 挂载成功后就可以在文件管理器看到挂载的盘符了，因为这次挂载的是Linux的镜像，目前Windows还无法直接显示Linux的文件系统，所有看不到盘的数据内容，有时候还会提示请"格式化磁盘"，关闭弹窗就好。

5

（五）

日常取证工作中，常用FTK Imager制作磁盘镜像、挂载镜像等，但FTK Imager的数据恢复功能也是非常强大的，某些数据的恢复效果不输专业的数据恢复软件，甚至略胜一筹---【蘇小沐】

0

实验环境

 测试镜像，某32GB的行车记录仪SD卡，某段时间数据被删除。

1

加载磁盘数据

注意：取证分析中使用的是镜像副本，不要直接对原始检材瞎搞！！！

注意：取证分析中使用的是镜像副本，不要直接对原始检材瞎搞！！！

2

加载本地磁盘（物理驱动器或逻辑驱动器）

 （1）选择本地磁盘/分区，这一步多用于自己电脑数据的简单恢复（没有数据覆盖的情况下，机械硬盘恢复成功率远远高于固态硬盘）。

（2）先对磁盘镜像进行挂载到本地，再选择本地磁盘/分区。

        选择所需数据恢复的磁盘/分区，然后下一步，最后确定即可。

3

直接加载磁盘镜像

方便之处在于直接加载镜像文件，不需要再挂载到本地，可以省略第1步。

加载完就数据恢复完成！速度非常快。

在本次镜像测试过程中，对比几家专业的取证设备厂商软件，对镜像文件进行深度扫描恢复效果都没FTK Imager恢复的效果好。

当然，每一款数据恢复软件各有优缺点，在实际数据恢复中，应多尝试些不同设备厂商的软件来恢复，不盲目相信单一软件的结果。

4

证据树

 在FTK Imager左侧的证据树里面就可以按照磁盘镜像的原始结构查看里面的文件内容。

5

数据恢复效果

点开证据树，在右侧会显示对应文件夹及文件内容，打红色x号的表示数据已经被删除，被软件恢复功能所识别到，删除的文件显示有数据大小一般都可以成功导出。

导出后的数据能否被正常查看，取决于原始数据是否被新的数据覆盖，甚至可以进一步使用其它专业软件对导出的文件尝试修复。

6

数据导出

 可以单选或多选，选中需要导出的数据，直接右键或者选择工具栏上的导出按钮，导出数据到本地进行保存。（不管任何情况下，切忌导出的数据存到原始盘！！！）

7

导出结果

导出结束提示：一般导出的速度取决于导出文件的大小，导出结束后会提示本次导出的结果记录，如果导出失败或者导出的数据没有大小（文件大小为0 KB），一般是该文件没有数据恢复成功。也可尝试其它专业数据恢复工具进行尝试恢复。

8

个人闲扯

FTK Imager在视频恢复功能上，给我的感觉很好，恢复结果按照原始数据结构树呈现，方便查找，所见即所得。当然FTK Imager还有很多功能，可以自行探索。

注意：取证分析中使用的是镜像副本，不要直接对原始检材瞎搞！！！

注意：取证分析中使用的是镜像副本，不要直接对原始检材瞎搞！！！

注意：取证分析中使用的是镜像副本，不要直接对原始检材瞎搞！！！

6

（六）FTK Imager单文件版共享

个人封装的FTK Imager单文件版本，主要是为了便携式取证和更换设备方便，原版封装，未作修改，已经做了哈希校验，可以校验，防止被第三方修改---【蘇小沐】

1

资源文件哈希校验

因为汉化是基于修改注册表的，所以没有修改注册表的，运行此单文件版本仍然是显示的英文界面，资源文件已经附上【FTK Imager切换中文.reg】文件，自行运行修改即可！

2

汉化结果

展示制作镜像完成的截图。

3

镜像校验结果

 镜像校验完成结果

因为封装的软件主要是自个使用，测试的环境不多，不能保证每个设备都能正常运行使用，如果运行不了自行安装原版FTK Imager使用！！！

因为封装的软件主要是自个使用，测试的环境不多，不能保证每个设备都能正常运行使用，如果运行不了自行安装原版FTK Imager使用！！！ 

因为封装的软件主要是自个使用，测试的环境不多，不能保证每个设备都能正常运行使用，如果运行不了自行安装原版FTK Imager使用！！！ 

END