FTK-镜像取证工具

使用 Exterro FTK Imager 创建具有法律依据的镜像

加入全球数以千计的法医专业人士，他们依靠 FTK Imager（法医行业首选的数据成像和预览解决方案）作为调查电子设备的第一步。

官网:https://www.exterro.com/digital-forensics-software/ftk-Imager

或者我个人使用的版本: https://pan.baidu.com/s/1QM_AoEoQKU3vjpF3V7yCzw?pwd=4u94 提取码: 4u94

快速评估电子证据、创建法医图像并生成哈希报告。

FTK Imager 是一款免费的数据预览和成像工具，用于通过创建计算机数据副本而不更改原始证据，以法医可靠的方式获取电子证据。

创建镜像

使用 FTK Imager，您可以创建本地硬盘、CD 和 DVD、拇指驱动器或其他 USB 设备的取证图像。

预览数据

预览存储在本地机器或网络驱动器上的法医图像的内容。

评估证据

评估计算机证据以确定是否有必要使用 FTK® 取证工具包等取证工具进行进一步分析。

使用全磁盘映像创建计算机数据的完美副本。

FTK Imager 可以创建计算机数据的完美副本（即取证图像），而无需更改原始证据。取证图像在各个方面都与原始图像完全相同，包括文件松弛和未分配空间或驱动器可用空间。在使用图像进行调查时，请保护证据免受损害或篡改。

使用图像挂载重新创建设备用户的视角。

装载映像以获得只读视图，该视图利用 Windows® 文件资源管理器查看映像内容，与用户在原始驱动器上看到的完全相同。恢复已从回收站中删除但尚未覆盖的文件。在装载的映像上运行病毒扫描或 Python 脚本，轻松向陪审团展示用户如何查看自己的文件和文件夹结构。

使用 Hash Reports 证明您的案件证据的完整性 。

为常规文件和磁盘映像（包括磁盘映像内的文件）生成哈希报告，您以后可以将其用作基准来证明案件证据的完整性。FTK Imager 生成的哈希可用于验证映像和原始驱动器是否相同，以及映像自获取以来是否保持不变。

附加功能

自定义内容图像

通过仅选择您想要成像的数据来创建数据集的自定义内容图像，以减少数据集的大小并使您的调查更有效率，但仍然具有法医依据。

数据预览

在对取证图像进行成像之前，预览存储在本地计算机或网络驱动器上的取证图像的内容。预览本地硬盘驱动器、网络驱动器、CD 和 DVD、拇指驱动器或其他 USB 设备上的文件和文件夹。

RAM 捕获

在实时设备上执行内存捕获或注册表捕获，以恢复活动设备内存中存储的密码或其他数据。

导出文件

FTK Imager 可以写入和读取所有最常见的取证图像格式，从而可以轻松地在另一个工具（包括功能齐全的 FTK 取证工具包）中继续进行取证分析和审查。

具体使用:请B站搜索:疯狂的杨CC,观看教学