数字证据 - 如何使用 FTK 检查证据

---

什么是数字证据？

数字证据是指从任何电子设备中收集到的任何可操作信息，能够揭示犯罪背后的谜团。此类证据可在任何法庭上作为证据使用。数据是从计算机和电子设备中检索的。法医调查包括封锁犯罪现场、收集指纹、电子证据，没收所有相关的证据材料等。如果系统正在运行，这是一个简单的任务。这个法医过程被称为实时数据采集。

什么是克隆？

克隆是一种创建系统驱动器副本的方法。在必须执行复制以检索关键数据的情况下，克隆至关重要，例如，建立备份环境或检索数据（包括代码、应用程序、软件、来自故障硬件环境的实用程序）。克隆以极快的速度和精度进行，这使得克隆技术在调查过程中不可或缺。

相反，镜像类似于拍摄相关信息的快照，并将其存储在所需的格式中，最好是电子表格。无论采用哪种方法，都必须遵守规定的标准、步骤和最佳实践，确保证据得到保护，以维护其完整性。掌握何时以及如何使用这些方法的专业知识，将使检查人员能够发现真相，同时保护数字证据的完整性。

FTK 管理器

FTK 管理器是一款流行的法医镜像和分析工具，用于获取、创建法医镜像，并对多种类型的数字媒体进行压缩分析。它为检查人员提供了一个用户友好的界面、详尽的分析功能、与多个操作系统的兼容性以及近乎精确的证据。在这里，我们重点介绍了一些突出的功能：

法医镜像

• 磁盘镜像：调查人员可以使用 FTK 管理器创建硬盘、U 盘和任何类型的存储介质的法医镜像。它支持创建多种镜像格式，包括著名的 EnCase® Evidence (E01) 格式。
• 实时 RAM 获取：这是一种实时操作技术，允许分析来自活动系统的易失性内存 (RAM) 数据，生成使用传统磁盘镜像无法访问的重要数据。

分析和检查

• 文件分析：FTK Imager 方便了检查文件和文件夹的过程，使用法医镜像，允许调查人员查看和提取文件，包括已删除或隐藏的文件，并进行深入调查。
• 文件格式支持：它支持各种文件格式，允许分析不同的数字工件，例如文档、图像、视频、电子邮件和系统文件。
• 元数据提取：FTK Imager 可以提取与文件关联的元数据，从而生成有价值的信息，例如大小、格式、创建日期、修改历史记录、时间戳和用户详细信息。
• 关键词搜索：检查人员有权对法医镜像进行关键词搜索，从而揭示相关证据或精确信息。

验证

• 哈希计算：配置管理器以计算和验证法医镜像的哈希值（例如，MD5、SHA-1、SHA-256），从而保证并支持保管链文档。
• 签名分析工具：该工具具有分析不同签名模式的功能，可以深入了解不同的文件类型，识别任何恶意文件或可疑内容。

为什么使用 FTK 管理器？

以下是 FTK 管理器成为首选数字证据收集工具的一些原因：

• 保护存储介质：它通过以法医防篡改的方式保证证据的保存来保护存储介质。存储的镜像即使在一段时间后也可以进行分析，从而方便将来调查关键证据以支持调查。
  
• 通用性和简单易用性：FTK Imager 的用户友好界面使经验丰富的法医专业人员和该领域的新手都能使用它。它与不同操作系统的兼容性允许其无缝集成到现有的法医工作流程中。
• 高效的数据分析：FTK Imager 强大的分析能力使调查人员能够高效地检查文件、提取元数据和执行关键词搜索，从而简化流程，提高发现关键证据的效率。
• RAM 分析：RAM 获取功能帮助调查人员记录易失性内存数据，可以揭示重要的细节，例如正在运行的进程、打开的网络连接和加密密钥，详细检查对于生成系统活动报告和识别潜在威胁至关重要。FTK Imager强大的镜像功能、全面的分析功能和易用性使其成为获取、检查和验证数字证据的首选解决方案。无论是获取法医镜像、分析文件、提取元数据还是调查易失性内存，FTK Imager 都为调查人员提供了发现重要证据和支持法医调查过程的必要工具。

磁盘克隆

克隆类似于创建镜像，其中所有项目（包括空页）都被复制。如果在 PC 上执行克隆，它会复制整个磁盘，包括操作系统、软件、应用程序和文件，而无需了解要复制的内容。

• 精确复制：磁盘克隆会复制并生成源设备的无法区分的副本，它会复制空闲空间和隐藏分区。
• 快速复制：与镜像相比，克隆被认为是一种快速的方法，因为它不需要创建单个镜像文件，而只是逐扇区复制。

使用 FTK Imager 创建法医磁盘镜像

以下是创建磁盘镜像的步骤：

下载并安装 FTK Imager

• 确保安装最新版本，并注明版本和厂商详细信息。因为在数字取证和事件响应 (DFIR) 中，这有助于任何审查和事件后分析。还要提供有关报告中使用的所有实用程序、配置和版本的信息。
• 始终为应用程序和软件配置自动更新，这是维护流程的完整性、机密性和可信赖性的标准之一。强烈建议为 FTK 管理器使用两台独立的计算机，考虑到数据的安全性。
• 从官方网站下载最新版本。下载后，安装并配置，完成所有需要提供详细信息的流程，否则安装将无法进行。

启动 FTK Imager

安装管理器后，单击应用程序图标启动 FTK Imager。

• 在“文件”菜单中，选择“创建磁盘镜像”。
• 从驱动器列表中选择相应的源设备。
  
• 配置镜像目标
• 选择位置，输入输出镜像文件的名称。
• 选择合适的镜像格式，例如 E01 或 DD。
• 配置镜像选项，例如压缩、验证和哈希算法，如设计中所示。
  

开始镜像

• 单击“开始”按钮开始。
• 源设备的镜像已创建。

验证

• 镜像完成后，您将在控制台中收到确认消息。然后，启动 FTK Imager 进行检查。
• 镜像完成后，使用 FTK Imager 使用哈希值验证镜像的完整性。
  

在 FTK Imager 或使用第三方工具查看法医镜像，以分析数据并确保调查的真实性。必须遵守规定的保管链程序。在此过程中，必须遵守该国规定的法律和道德标准。