Компьютерная экспертиза. Практическая работа №1. FTK Imager

# Компьютерная экспертиза. Практическая работа №1. FTK Imager ## **Теоретическое введение** **FTK Imager** – инструмент, который часто используется для получения дампов системы, подлежащей криминалистическому судебному анализу. FTK Imager может создавать точные копии или криминалистические образы компьютерных данных без внесения изменений в исходные доказательства. Криминалистический образ во всех отношениях идентичен оригиналу, включая свободное место в файле и нераспределенное пространство или свободное место на диске. Это позволяет вам хранить исходный носитель подальше от повреждений, пока исследование продолжается с использованием изображения. Возможности FTK Imager: * Просмотр файлов и директорий на подключенных носителях данных; * Создание точных копий подключенных носителей данных (в форматах dd, EnCase, SMART); * Создание копий отдельных файлов и директорий; * Экспорт хеш-значений для файлов; * Обнаружение использования EFS; * Экспорт файлов реестра с работающей системы. ## **Установка** Программа предназанчена для Windows. Скачать FTK Imager можно с [официального сайта.](https://www.exterro.com/ftk-imager) ## **Работа с программой** Мы будем использовать FTK Imager для создания точных копий подключенных носителей. Нажав на *"Create Disk Image"*, появится окно выбора источника создания образа: * *Physical Drive* - для создания образа всего устройства. * *Logical Drive* - для создания определённого диска * *Image File* - для создания более сжатой версии диска * *Contents of a Folder* - для создания образа конкретной папки * *Fernico Device* - для содания образа DVD/CD носителя ![](https://i.imgur.com/lESIIjK.png) Далее выберем наш внешний носитель. ![](https://i.imgur.com/5Tpcn0z.png) После выбора носителя нам необходимо добавить расположение куда будет сохранен образ. На выбор предлагается 4 типа изображения: * *Raw (dd)* - представляет собой побитовую копию данных RAW либо диска, либо тома, хранящихся в одном или нескольких файлах. В файлах изображений не хранятся метаданные. * *SMART* - в основном используется инструментом SMART для Linux. Изображение хранится в одном или нескольких файлах сегментов, каждый из которых имеет метаданные (Этот формат изображения больше не используется). * *E01* - содержит физическую копию битового потока, хранящуюся в одном или нескольких файлах, обогащенную метаданными, эти метаданные включают информацию о деле, имя экзаменатора, примечания, контрольные суммы и хэш MD5. Он также предлагает сжатие и защиту паролем. * *AFF* - открытый формат для хранения криминалистических изображений. Его цель — предложить формат образа диска, не привязанный к проприетарному программному обеспечению (Этот формат изображения больше не используется). ![](https://i.imgur.com/6RRFlz0.png) Заполняем информацию о нашем изображении и сохраняем его. ![](https://i.imgur.com/OepB1Ge.png) После ждем создание изображения. ![](https://i.imgur.com/S86llL1.png) Теперь перейдём в папку, где мы создавали образ и увидим, что было создано несколько файлов. Также можно заметить, что был создан txt-файл. В нём можно посмотреть информацию о процессе обработки обзора диска. ![](https://i.imgur.com/52Ok0Vl.png) ![](https://i.imgur.com/N0OL7Bl.png) ## **Заключение** В данной практической работе мы познакомились с программой FTK Imager, изучили её функционал, научились создавать образ диска для того, чтобы пото можно было проводить расследование с использованием созданных нами образов. ## **Доклад на тему: "Форензика устройств Apple"** [Cсылка на доклад](https://hackmd.io/B3atk52tSS-_hlY3tGb-xw)