數字證據 - 如何使用 FTK 檢查證據

---

什麼是數字證據？

數字證據是指從任何電子裝置中收集到的任何可操作資訊，能夠揭示犯罪背後的謎團。此類證據可在任何法庭上作為證據使用。資料是從計算機和電子裝置中檢索的。法醫調查包括封鎖犯罪現場、收集指紋、電子證據，沒收所有相關的證據材料等。如果系統正在執行，這是一個簡單的任務。這個法醫過程被稱為即時資料採集。

什麼是克隆？

克隆是一種建立系統驅動器副本的方法。在必須執行復制以檢索關鍵資料的情況下，克隆至關重要，例如，建立備份環境或檢索資料（包括程式碼、應用程式、軟體、來自故障硬體環境的實用程式）。克隆以極快的速度和精度進行，這使得克隆技術在調查過程中不可或缺。

相反，映象類似於拍攝相關資訊的快照，並將其儲存在所需的格式中，最好是電子表格。無論採用哪種方法，都必須遵守規定的標準、步驟和最佳實踐，確保證據得到保護，以維護其完整性。掌握何時以及如何使用這些方法的專業知識，將使檢查人員能夠發現真相，同時保護數字證據的完整性。

FTK 管理器

FTK 管理器是一款流行的法醫映象和分析工具，用於獲取、建立法醫映象，並對多種型別的數字媒體進行壓縮分析。它為檢查人員提供了一個使用者友好的介面、詳盡的分析功能、與多個作業系統的相容性以及近乎精確的證據。在這裡，我們重點介紹了一些突出的功能：

法醫映象

• 磁碟映象：調查人員可以使用 FTK 管理器建立硬碟、U 盤和任何型別的儲存介質的法醫映象。它支援建立多種映象格式，包括著名的 EnCase® Evidence (E01) 格式。
• 即時 RAM 獲取：這是一種即時操作技術，允許分析來自活動系統的易失性記憶體 (RAM) 資料，生成使用傳統磁碟映象無法訪問的重要資料。

分析和檢查

• 檔案分析：FTK Imager 方便了檢查檔案和資料夾的過程，使用法醫映象，允許調查人員檢視和提取檔案，包括已刪除或隱藏的檔案，並進行深入調查。
• 檔案格式支援：它支援各種檔案格式，允許分析不同的數字工件，例如文件、影像、影片、電子郵件和系統檔案。
• 元資料提取：FTK Imager 可以提取與檔案關聯的元資料，從而生成有價值的資訊，例如大小、格式、建立日期、修改歷史記錄、時間戳和使用者詳細資訊。
• 關鍵詞搜尋：檢查人員有權對法醫映象進行關鍵詞搜尋，從而揭示相關證據或精確資訊。

驗證

• 雜湊計算：配置管理器以計算和驗證法醫映象的雜湊值（例如，MD5、SHA-1、SHA-256），從而保證並支援保管鏈文件。
• 簽名分析工具：該工具具有分析不同簽名模式的功能，可以深入瞭解不同的檔案型別，識別任何惡意檔案或可疑內容。

為什麼使用 FTK 管理器？

以下是 FTK 管理器成為首選數字證據收集工具的一些原因：

• 保護儲存介質：它透過以法醫防篡改的方式保證證據的儲存來保護儲存介質。儲存的映象即使在一段時間後也可以進行分析，從而方便將來調查關鍵證據以支援調查。
  
• 通用性和簡單易用性：FTK Imager 的使用者友好介面使經驗豐富的法醫專業人員和該領域的新手都能使用它。它與不同作業系統的相容性允許其無縫整合到現有的法醫工作流程中。
• 高效的資料分析：FTK Imager 強大的分析能力使調查人員能夠高效地檢查檔案、提取元資料和執行關鍵詞搜尋，從而簡化流程，提高發現關鍵證據的效率。
• RAM 分析：RAM 獲取功能幫助調查人員記錄易失性記憶體資料，可以揭示重要的細節，例如正在執行的程序、開啟的網路連線和加密金鑰，詳細檢查對於生成系統活動報告和識別潛在威脅至關重要。FTK Imager強大的映象功能、全面的分析功能和易用性使其成為獲取、檢查和驗證數字證據的首選解決方案。無論是獲取法醫映象、分析檔案、提取元資料還是調查易失性記憶體，FTK Imager 都為調查人員提供了發現重要證據和支援法醫調查過程的必要工具。

磁碟克隆

克隆類似於建立映象，其中所有專案（包括空頁）都被複制。如果在 PC 上執行克隆，它會複製整個磁碟，包括作業系統、軟體、應用程式和檔案，而無需瞭解要複製的內容。

• 精確複製：磁碟克隆會複製並生成源裝置的無法區分的副本，它會複製空閒空間和隱藏分割槽。
• 快速複製：與映象相比，克隆被認為是一種快速的方法，因為它不需要建立單個映象檔案，而只是逐扇區複製。

使用 FTK Imager 建立法醫磁碟映象

以下是建立磁碟映象的步驟：

下載並安裝 FTK Imager

• 確保安裝最新版本，並註明版本和廠商詳細資訊。因為在數字取證和事件響應 (DFIR) 中，這有助於任何審查和事件後分析。還要提供有關報告中使用的所有實用程式、配置和版本的資訊。
• 始終為應用程式和軟體配置自動更新，這是維護流程的完整性、機密性和可信賴性的標準之一。強烈建議為 FTK 管理器使用兩臺獨立的計算機，考慮到資料的安全性。
• 從官方網站下載最新版本。下載後，安裝並配置，完成所有需要提供詳細資訊的流程，否則安裝將無法進行。

啟動 FTK Imager

安裝管理器後，單擊應用程式圖示啟動 FTK Imager。

• 在“檔案”選單中，選擇“建立磁碟映象”。
• 從驅動器列表中選擇相應的源裝置。
  
• 配置映象目標
• 選擇位置，輸入輸出映象檔案的名稱。
• 選擇合適的映象格式，例如 E01 或 DD。
• 配置映象選項，例如壓縮、驗證和雜湊演算法，如設計中所示。
  

開始映象

• 單擊“開始”按鈕開始。
• 源裝置的映象已建立。

驗證

• 映象完成後，您將在控制檯中收到確認訊息。然後，啟動 FTK Imager 進行檢查。
• 映象完成後，使用 FTK Imager 使用雜湊值驗證映象的完整性。
  

在 FTK Imager 或使用第三方工具檢視法醫映象，以分析資料並確保調查的真實性。必須遵守規定的保管鏈程式。在此過程中，必須遵守該國規定的法律和道德標準。