2020年12月Exterro宣布已收购行业领先的数字取证调查技术提供商AccessData。Exterro的此次收购,完善了在电子取证、内部调查、事件和违规响应以及隐私方面的取证收集、处理和分析能力补充。
嗯,我想说的是,因为Exterro的收购,原本的AccessData.com官网被替换成了Exterro.com,导致很多资源目录不仅变了,甚至一些资源都被取消了,网上能找到的资源也基本都是AccessData被收购前的下载地址,不出所料已经全部失效。下面就来啰嗦几句,在Linux下怎么下载安装FTK Imager来对服务器进行镜像制作---【蘇小沐】
1
实验环境
FTK Imager CLI,[v3.1.1] |
Kali Linux,[v2023.4] |
1
(一)
1
登录root账户
切换 root 用户登录,以避免后面制作镜像权限不足。
root命令:sudo su
。
输入当前账户密码:(密码不回显)
2
Linux版本FTK Imager安装命令
安装命令:wget https://web.archive.org/web/20160909140256if_/https://ad-zip.s3.amazonaws.com/ftkimager.3.1.1_ubuntu64.tar.gz
3
解压命令
使用语法:tar -zxvf [compressed_file]
提取压缩文件的内容。
解压命令:tar -zxvf ftkimager.3.1.1_ubuntu64.tar.gz
2
(二)
运行 FTK Imager 对磁盘进行镜像操作。
语法如下:./ftkimager [source] [destination] [options]
。
AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.
Usage: ftkimager source [dest_file] [options]
source can specify a block device, a supported image file, or `-' for stdin
if dest_file is specified, proper extension for image type will be appended
if dest_file is `-' or not specified, raw data will be written to stdout
Options:
--help : display this information
--list-drives : show detected physical drives
--verify : hash/verify the destination image,
or the source image if no destination is specified
--print-info : print information about a drive or image and then exit
--quiet : do not show create/verify progress information
--no-sha1 : do not compute SHA1 hash during acquire or verify
(The following options are valid only when dest_file is specified):
--s01 : create a SMART ew-compressed image
--e01 : create an E01 format image
--frag x{K|M|G|T} : create image fragments at most x {K|M|G|T} in size
also accepts kB, MB, GB, and TB for powers of 10 instead of 2
--compress C : set compression level to C (0=none, 1=fast, ..., 9=best)
e01/smart metadata (use quote marks when X contains spaces):
--case-number X
--evidence-number X
--description X
--examiner X
--notes X
AD Encryption Options:
--inpass P : decrypt source file using password P
--incert C [P] : decrypt source file using certificate C with password P
--outpass P : encrypt dest file using password P
--outcert C [P] : encrypt dest file using certificate C with password P
主要参数说明:
参数 | 说明 |
---|---|
/dev/sdb | 获取镜像的磁盘 |
--e01 | Encase 图像文件格式 |
--compress 6 | 磁盘镜像的压缩级别:0~9,默认6。 |
3
(三)
1
查询磁盘信息
命令:fdisk -l
fdisk -l显示硬盘的所有信息。
2
Linux制作E01镜像命令
./ftkimager /dev/sda /2024SXM --e01 --compress 9 --verify
3
镜像哈希校验
本次只是简单总结了下Linxu版本的FTK Imager下载安装及制作镜像方法。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
记录 |
开始编辑:2024年 08月 07日 |
END
往期精彩回顾
▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)
▲ 【FTK Imager篇】FTK Imager制作镜像详细教程
关注我,了解更多取证知识,别忘了点赞+在看哦!