Analizza l'immagine del disco con FTK Imager

Analizza l'immagine del disco con FTK Imager

Imager FTK, è un software utilizzato per creare file immagine disco o montare immagini disco o dispositivi di archiviazione e quindi possiamo eseguire analisi della struttura del disco, recupero dati, eccetera. Questo software consente individuare i file persi o cercare i dati eseguendo la scansione dell'immagine del disco utilizzando parole chiave.

Utilizzando il software, si ottiene o si crea un'immagine di a disco rigido in un file di formato:

  • dd
  • img
  • ed01
  • crudo

Possiamo creare un'immagine con parti del disco o con l'intera partizione che può essere successivamente ricostruita.

Uno dei vantaggi è che al termine dell'acquisizione dell'immagine, il software calcola e genera una chiave hash MD5 che verrà utilizzata per confermare l'integrità dei dati e che l'immagine che abbiamo creato non è stata alterata, poiché eventuali modifiche minime nel file immagine altererà il codice di sicurezza e non corrisponderà all'originale.

FTK Imager è ampiamente utilizzato dagli esperti di computer forensi in quanto consente di acquisire dati da un dispositivo, creare un'immagine dei dati e quindi valutare le prove digitali per determinare se è giustificata un'analisi più dettagliata.

FTK Imager ti consente di svolgere varie attività, alcune delle quali sono le seguenti:

  • Crea immagini forensi di dischi rigidi dischi locali, logici, dispositivi di archiviazione remota, dispositivi mobili, unità flash, dischi Zip, CD e DVD, intere cartelle o singoli file da varie posizioni.
  • Possiamo anche visualizzare in anteprima ed estrarre il contenuto da immagini forensi memorizzato su un computer locale o su un'unità di rete.
  • FTK Imager ci consente anche di esportare file e cartelle per trattarli individualmente, visualizzare e recuperare i file che sono stati cancellati dal disco o da un cestino, ma non sono stati ancora sovrascritti sull'unità.
  • Crea hash MD5 e SHA-1 per garantire e preservare l'integrità dei file e dell'immagine che generiamo. Creiamo un'immagine come abbiamo visto nel tutorial Hard Drives and Partitions Forensics with Autopsy. Possiamo anche utilizzare lo stesso FTK Imager per creare un'immagine di un dispositivo di archiviazione.

Un'immagine è una copia di tutto o parte del dispositivo di archiviazione per impedire la modifica accidentale o intenzionale dei dati esistenti sul dispositivo di archiviazione, FTK Imager crea un'immagine copiando bit per bit, l'immagine risultante in un file, è identica alla struttura originale del dispositivo, inclusi spazio, configurazione dell'unità e qualsiasi file che contenga l'unità anche se temporaneo. Ciò consente di archiviare questi dati in un luogo sicuro per successive indagini utilizzando l'immagine del dispositivo.

Dopo aver scaricato l'installer dal sito ufficiale di AccessData e aver proceduto all'installazione del programma che funziona solo su Windows.

Crea l'immagine di un dispositivo


Possiamo creare l'immagine con lo stesso software dall'opzione Crea immagine disco.

Da Linux possiamo usare il comando dd per creare un'immagine di una particolare unità o cartella, come segue: 

 sudo dd if = / dev / partizione di = / home / myuser / file copy.dd
Quando abbiamo l'immagine creata da FTK Imager dobbiamo aggiungere il file di prova, dal menu File, aggiungi prove.

Per questo tutorial avremo un'immagine appartenente a una memoria flash.

Successivamente dobbiamo indicare a quale tipo di unità appartiene l'immagine, se si tratta di un'unità fisica, unità logica o file immagine, in questo caso selezioniamo file immagine e facciamo clic su Prossimo.

Quindi vedremo l'immagine e saremo in grado di navigare nelle sue directory e file, conoscerne le caratteristiche, quale sistema operativo aveva installato.

Quindi siamo in grado di analizzare il disco virtuale come un disco fisico, in questo modo tutto ciò che contiene, inclusi i file cancellati, può essere visto o recuperato.

Nell'esempio possiamo vedere come possiamo recuperare alcuni file di fogli di calcolo. Possiamo anche montare l'unità dall'opzione File> Monta immagine, una volta montata l'immagine sarà come un'altra unità disco.

Qui possiamo vedere che quando si monta l'unità appare nell'unità F:, ora l'abbiamo disponibile come unità disco virtuale e possiamo usare software come PhotoRec (lo hai nella posizione 7 di questo articolo), che possiamo scaricare dal suo sito web ufficiale per recuperare i file cancellati.

PhotoREc È molto semplice da usare, non ha bisogno di installazione, dobbiamo solo indicare quale unità o partizione vogliamo ripristinare.

Qui possiamo vedere che la nostra unità virtuale F: appare con il contenuto dell'immagine del disco. Selezioniamo l'unità e poi di seguito indichiamo in quale directory verranno copiati i file recuperati per impostazione predefinita sarà recup_dir.

Possiamo vedere le estensioni dei file recuperati dall'unità virtuale che abbiamo creato, questa directory recuperata è fisica, non è virtuale o logica, quindi avremo i file a nostra disposizione in modo permanente. Questo software ha anche recuperato file exe, quindi potremmo analizzarli per vedere se sono un virus o un software pericoloso per il sistema, quindi è meglio eseguire questo tipo di analisi in un macchina virtuale come VirtualBox.

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Come migrare un sito web da Joomla a Wordpress
2
post-title
La tua password principale di Firefox è stata compromessa per 9 anni
3
post-title
Come disabilitare i tasti audio LG G6
4
post-title
Come avere due account Facebook o WhatsApp Samsung Galaxy S10 Plus
5
post-title
▷ SOLUZIONE ERRORE PS5 WV-109166-3 ✔️ Non è possibile connettersi a Internet

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -