Digital Forensics: Digital Forensics 101: Acquiring an Image with FTK Imager
AccessData® FTK® Imager 3.4.0.1 เป็นเครื่องมือที่ใช้ในการสำเนาข้อมูลจากหลักฐานดิจิทัล แหล่งที่มา: หน้า 21 ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version 1.0ภาคผนวก ค ตัวอย่างเครื่องมือในงานตรวจพิสูจน์หลักฐานดิจิทัล (Forensic data acquisition tools ) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
(1.2) ชนิดซอฟต์แวร์ ได้ระบุ โปรแกรม FTK Imager ไว้ในเอกสาร จัดทำโดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอสิกส์ (องค์การมหาชน)
โปรแกรม FTK® Imager สามารถทำงานบน Flash Drive โดยไม่มีการติดตั้งโปรแกรมลงในเครื่องคอมพิวเตอร์ ( Portable ) เป็นโปรแกรมที่นิยมใช้ในการเก็บหลักฐานในรูปแบบการทำสำเนาข้อมูล (Forensic Image) และสามารถแสดงรายงานข้อมูลที่เก็บและทำสำเนาได้โดยระเอียด( Case Information)
From the File menu, select Create a Disk Image and choose the source of your image. In the interest of a quick demo, I am going to select a 8GB Flash Drive
เลือก Physical Drive
ที่ต้องการทำ Image
สิ่งสำคัญในการทำ Disk Image ต้องผ่านอุปกรณ๋ Write Blocker เพื่อป้องกันการเขียนทับหลักฐาน (Evidence)
Kingston DataTraveler 3. USB Device
Click Add... to add the image destination. Check Verify images after they are created
ทำการใส่รายละเอียด ชื่อคนทำ ชื่อเคส ใน Evidence Item Information
Select the Image Destination folder and file name.Click Finish to complete the wizard.
Filename CF-SM-FD_FTK01
A progress window will appear.
FTK Imager also creates a log of the acquisition process and places it in the same directory as the image.
รายละเอียด ยืนยันความครบถ้วนสมบูรณ์ของข้อมูลที่สำเนาได้
ด้วยการคานวณและเปรียบเทียบค่า แฮช ของต้นฉบับและสาเนา เช่น MD5 SHA1
Case Information:
Acquired using: ADI3.4.0.1
Case Number: CF-SM-FD_FTK01
Evidence Number:
Unique description: CF-SM-FD_FTK01
Examiner: Smith
Notes: CF-SM-FD_FTK01+Write Blocker
--------------------------------------------------------------
Information for D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker:
Physical Evidentiary Item (Source) Information:
[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 942
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 15,138,816
[Physical Drive Information]
Drive Model: Kingston DataTraveler 3. USB Device
Drive Serial Number: 08606E6B64AAB011D82D
Drive Interface Type: USB
Removable drive: True
Source data size: 7392 MB
Sector count: 15138816
[Computed Hashes]
MD5 checksum: 0eec2711d4595b8e9a5294e50d79ee66
SHA1 checksum: e100eec8e80b9df8279f77f1bc7f09375702eab1
Image Information:
Acquisition started: Tue Aug 14 18:00:27 2018
Acquisition finished: Tue Aug 14 18:06:16 2018
Segment list:
D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker.001
D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker.002
D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker.003
D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker.004
D:\Test Write Blocker\CF-SM-FD_FTK01\Test Write Blocker.005
Image Verification Results:
Verification started: Tue Aug 14 18:06:23 2018
Verification finished: Tue Aug 14 18:09:21 2018
MD5 checksum: 0eec2711d4595b8e9a5294e50d79ee66 : verified
SHA1 checksum: e100eec8e80b9df8279f77f1bc7f09375702eab1 : verified
Forensic Data Acquisition - Hardware Write Blockers
อ้างอิง : ข้อเสนอแนะมาตรฐาน การจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน Version 1.0 จัดทำโดย คณะทางานจัดทาร่างมาตรฐานการปฏิบัติงานตรวจพิสูจน์พยานหลักฐานดิจิทัล
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) Download
ที่มา:
#FTK IMAGER Step By Step
#Accessdata Certified Examiner
#how-to-investigate-files-with-ftk-imager
#Forensics 101: Acquiring an Image with FTK Imager
#Digital Forensics Certification
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fr
No comments:
Post a Comment