【镜像取证篇】FTK imager校验外部镜像的源盘哈希值

【镜像取证篇】FTK imager校验外部镜像的源盘哈希值

使用FTK imager校验E01镜像文件的源盘哈希值—【蘇小沐】

1、实验环境

Windows 11 专业工作站版,[24H2(26100.2605)]
AccessData FTK Imager,[v4.7.1.2]

(一)FTK imager校验镜像源盘哈希

1、添加证据项

路径:选择菜单栏的"添加证据项"->“源证据类型”->“映像文件(I)”->选择镜像所在路径。

Image

选择镜像文件所在路径。

Image

2、校验镜像文件

路径1:菜单栏"文件"->“校验驱动/镜像”,即可计算当前添加的镜像文件。

(一定要是先添加了镜像或者驱动等,这里的选项才可用,不然是灰色不可选的哟)

Image

路径2:或者直接在"证据树(E)“右键刚添加的镜像文件,选择"校验驱动/镜像”,即可计算当前添加的镜像文件。

Image

校验进度

Image

3、校验结果

得到的就是源盘的哈希值。

Image

和制作镜像文件时的记录做对比,源盘校验值一致!!!

Image

(二)"镜像文件"的哈希和"镜像的源盘"哈希比较

"E01镜像文件"等压缩镜像格式的哈希值不等于"镜像的源盘"哈希值!!!

总会有人把这两个搞混,觉得一会镜像文件的哈希,一会又是源盘的哈希,同一个盘出来的,怎么计算的哈希还不一样?是不是检材被污染啦?是不是工具出了问题啊?下一篇会展开啰嗦下。

Image

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【FTK】自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 12月 24日‍

最后编辑:2024年 12月 24日

【往期精彩回顾】

Image

Image

关注我,了解更多取证知识,别忘+看哦!****Image

Image

本文转自 https://mp.weixin.qq.com/s/445g4QfennKU4TGvpMF1Og,如有侵权,请联系删除。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值