数字取证autopsy系列——保存证据镜像（一）

简介：

在学习autopsy之前，我们先学习如何将犯罪嫌疑人的磁盘保存为一个证据镜像。我们使用的将磁盘保存为证据镜像的工具为AccessData FTK imager，你可以自行搜索下载。

 

AccessData FTK imager的使用：

FTK imager已经安装好了，现在我们模拟将本地C盘保存为镜像，以供后面使用autopsy进行分析取证。

 

第一步，创建一个磁盘镜像：

 

第二步，选择需要镜像的内容，这里我选择逻辑驱动器，根据自己实际情况而定：

 

第三步，指定镜像保存的格式，dd为原始文件E01为证据镜像通用格式，我选择使用E01：

 

 

 

 

以下是该项目的信息，由于我们只是进行学习，就不填写了。

 

 

第四步，指定镜像保存的位置：

指定镜像保存到G盘下，镜像名称命名为“证据”。

注意：我们不能将镜像保存到C盘，因为我们正在镜像C盘。

 

 

 一切准备就绪，点击start即可将C盘保存为镜像：

 

你应该学会如何对犯罪嫌疑人的磁盘进行证据保存了吧，点击start等待一段时间之后镜像就制作完毕了，FTK imager保存磁盘镜像介绍到这里就结束了。