【Linux取证篇】Linux版本FTK Imager下载与镜像方法

文摘   2024-08-10 10:39   湖北  

2020年12月Exterro宣布已收购行业领先的数字取证调查技术提供商AccessData。Exterro的此次收购,完善了在电子取证、内部调查、事件和违规响应以及隐私方面的取证收集、处理和分析能力补充。

嗯,我想说的是,因为Exterro的收购,原本的AccessData.com官网被替换成了Exterro.com,导致很多资源目录不仅变了,甚至一些资源都被取消了,网上能找到的资源也基本都是AccessData被收购前的下载地址,不出所料已经全部失效。下面就来啰嗦几句,在Linux下怎么下载安装FTK Imager来对服务器进行镜像制作---【蘇小沐】


1

实验环境



FTK Imager CLI,[v3.1.1]
Kali Linux,[v2023.4]

1



(一)

下载安装Linux版本FTK Imager

1

登录root账户


切换 root 用户登录,以避免后面制作镜像权限不足。

root命令:sudo su

输入当前账户密码:(密码不回显)

2

Linux版本FTK Imager安装命令


FTK Imager,CLI(命令行界面)版本的链接

安装命令:wget https://web.archive.org/web/20160909140256if_/https://ad-zip.s3.amazonaws.com/ftkimager.3.1.1_ubuntu64.tar.gz

3

解压命令


提取压缩文件的内容。

使用语法:tar -zxvf [compressed_file] 提取压缩文件的内容。

解压命令:tar -zxvf ftkimager.3.1.1_ubuntu64.tar.gz

2

 


(二)

FTK Imager,CLI参数说明

运行 FTK Imager 对磁盘进行镜像操作。

语法如下:./ftkimager [source] [destination] [options]

AccessData FTK Imager v3.1.1 CLI (Aug 24 2012)
Copyright 2006-2012 AccessData Corp., 384 South 400 West, Lindon, UT 84042
All rights reserved.

Usage: ftkimager source [dest_file] [options]
source can specify a block device, a supported image file, or `-' for stdin
if dest_file is specified, proper extension for image type will be appended
if dest_file is `-' or not specified, raw data will be written to stdout
Options:
--help       : display this information
--list-drives : show detected physical drives
--verify     : hash/verify the destination image,
                or the source image if no destination is specified
--print-info : print information about a drive or image and then exit
--quiet       : do not show create/verify progress information
--no-sha1     : do not compute SHA1 hash during acquire or verify
(The following options are valid only when dest_file is specified):
--s01         : create a SMART ew-compressed image
--e01         : create an E01 format image
--frag x{K|M|G|T} : create image fragments at most x {K|M|G|T} in size
                also accepts kB, MB, GB, and TB for powers of 10 instead of 2
--compress C : set compression level to C (0=none, 1=fast, ..., 9=best)
e01/smart metadata (use quote marks when X contains spaces):
  --case-number X
  --evidence-number X
  --description X
  --examiner X
  --notes X
AD Encryption Options:
--inpass P     : decrypt source file using password P
--incert C [P] : decrypt source file using certificate C with password P
--outpass P     : encrypt dest file using password P
--outcert C [P] : encrypt dest file using certificate C with password P

主要参数说明:

参数说明
/dev/sdb获取镜像的磁盘
--e01Encase 图像文件格式
--compress 6磁盘镜像的压缩级别:0~9,默认6。

3

 


(三)

FTK Imager CLI制作E01镜像实操


1

查询磁盘信息


命令:fdisk -l

fdisk -l显示硬盘的所有信息。

2

Linux制作E01镜像命令


在Windows版本中,FTK Imager压缩率默认参数是6。在Linux系统中,考虑到时间和空间因素,为了能最快固定好服务器镜像,建议压缩率给到最大设置参数9。

制作镜像命令:./ftkimager /dev/sda /2024SXM --e01 --compress 9 --verify

3

镜像哈希校验


当获取镜像的过程完成后,FTK 会在存储镜像文件的目录下创建一个包含镜像摘要信息的.txt文件。

总结

本次只是简单总结了下Linxu版本的FTK Imager下载安装及制作镜像方法。

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词FTK自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 08月 07日

最后编辑:2024年 08月 10日

 

END


往期精彩回顾



▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)


▲ 【FTK Imager篇】FTK Imager制作镜像详细教程


 

关注我,了解更多取证知识,别忘+看哦!

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章