获取硬盘驱动器后，最常需要取证图像来验证图像的完整性。这通常由执法部门为法庭执行，因为在创建法医图像后，可以检查其完整性以验证它没有被篡改。法医成像被定义为用于复制电子媒体（例如硬盘驱动器）的过程和工具，用于进行调查和收集可在法庭上出示的证据。该副本不仅包括对操作系统可见的文件，还包括每一位数据、每个扇区、分区、文件、文件夹、主引导记录、已删除文件和未分配空间。该映像是所有驱动器结构和内容的相同副本。

此外，可以在不损坏原始副本或证据的情况下备份和/或测试取证图像。

此外，您可以从正在运行或已停止运行的机器创建取证图像。它是具有完整性检查的及时字面量快照。

需要法医图像

1. 在当今的犯罪世界中，许多案件已通过使用此技术得到解决，因为除了通过操作系统可用的证据之外，使用此技术已发现证据，因为可能已删除有罪数据以防止在调查过程中被发现。除非该数据被安全地覆盖和删除，否则它是可以恢复的。
2. 优点之一包括防止丢失关键文件。
3. 当您怀疑管理员删除或更改文件时。完整的取证图像在一定程度上允许您恢复已删除的文件。它还可能用于识别已重命名或隐藏的文件。
4. 当您预计您的调查范围可能会在以后增加时。如果您不确定您的项目范围，请始终过度收集。数据太多总比没有好，而且您无法获得比取证图像更多的数据。
5. 当您期望您或您组织中的某个人可能需要证明或证明收集的法医健全性时。在大多数情况下，这种需求永远不会出现，但几乎肯定会在任何刑事或潜在的刑事诉讼中发挥作用。
6. 可以使用实时成像启用随机存取存储器 (RAM) 的成像。实时成像可以绕过大多数加密。

什么是 FTK 成像仪？

FTK Imager 是一个创建磁盘映像的工具，完全免费使用。它由 The Access Data Group 开发。它是一种有助于预览数据和成像的工具。

使用 FTK Imager，您可以：

• 创建取证图像或本地硬盘驱动器、软盘和 Zip 磁盘、DVD、文件夹、单个文件等的完美副本，而无需更改原始证据。
• 预览本地硬盘驱动器、网络驱动器、软盘、Zip 磁盘、CD 和 DVD 上的文件和文件夹。
• 您还可以预览可能存储在本地计算机或驱动器上的取证图像的内容。
• 您还可以为只读视图安装一个图像，这样您也可以像用户在原始驱动器上看到的一样查看取证图像的内容。
• 从取证图像中导出文件和文件夹。
• 查看和恢复已从回收站中删除但尚未在驱动器上覆盖的文件。

有很多方法可以创建法医图像。但是，下面将解释其中之一。

方法：

要使用 FTK 成像器创建取证图像，我们需要以下内容：

1. 来自 Access Data 的 FTK Imager，可以使用以下链接下载：来自 Access Data 的 FTK Imager
2. 您要为其创建映像的硬盘驱动器。

方法 ：

步骤 1：在您的机器上下载并安装 FTK 成像器。

第 2 步：安装后，单击并打开 FTK Imager。您应该会看到 FTK Imager 仪表板。

第 3 步：在菜单导航栏中，您需要单击“文件”选项卡，该选项卡将为您提供一个下拉列表，如下图所示，只需单击第一个显示“添加证据项目”的选项。

第 4 步：之后，会出现一个弹出窗口，要求您选择证据来源。如果您已将物理硬盘驱动器连接到用于制作取证图像的笔记本电脑/计算机，那么您将在此处选择物理驱动器。单击下一步。现在，选择您要使用的物理驱动器。请确保您选择了正确的驱动器，否则您将浪费时间导出您自己的操作系统驱动器的取证映像。

第 5 步：现在，我们将导出取证图像。

• 在 FTK Imager 窗口中右键单击要导出的物理驱动器。在此处选择导出磁盘映像。

• 单击图像目标的添加按钮。
• 选择要导出的取证图像类型。选择.E01并单击下一步。
• 之后，您现在必须输入有关案例的信息。您可以将它们留空或保持一般性，这部分完全由您决定。
• 接下来，您需要选择要导出取证图像的目标并为图像命名。

最后，您需要等待创建取证图像然后进行验证。创建取证图像的速度会因您的硬件而异。两者都发生后，您就可以准备好取证图像。

FTK 成像仪的优点

1. 它具有简单的用户界面和高级搜索功能。
2. FTK 支持 EFS 解密。
3. 它生成一个案例日志文件。
4. 它具有重要的书签和突出的报告功能。
5. FTK 成像仪是免费的。

FTK 成像仪的缺点

1. FTK 不支持脚本功能。
2. 它没有多任务处理能力。
3. 没有进度条来估计剩余时间。
4. FTK 没有时间线视图。