日常取证工作中,常用FTK Imager制作磁盘镜像、挂载镜像等,但FTK Imager的数据恢复功能也是非常强大的,某些数据的恢复效果不输专业的数据恢复软件,甚至略胜一筹—【蘇小沐】
测试镜像,某32GB的行车记录仪SD卡,某段时间数据被删除。
系统 | 版本 |
---|---|
Windows 11 专业工作站版 | 22H2(22621.2361); |
FTK Imanger | 4.7.1.2; |
FTK Imager介于Windows权限的原因,一般建议"以管理员身份运行(A)"FTK Imager,以获取更高的权限。
下面2步操作都可以,具体看个人选择。
注意:取证分析中使用的是镜像副本,不要直接对原始检材瞎搞!!!
(1)选择本地磁盘/分区,这一步多用于自己电脑数据的简单恢复(没有数据覆盖的情况下,机械硬盘恢复成功率远远高于固态硬盘)。
(2)先对磁盘镜像进行挂载到本地,再选择本地磁盘/分区。
选择所需数据恢复的磁盘/分区,然后下一步,最后确定即可。
方便之处在于直接加载镜像文件,不需要再挂载到本地,可以省略第1步。
加载完就数据恢复完成!速度非常快。
在本次镜像测试过程中,对比几家专业的取证设备厂商软件,对镜像文件进行深度扫描恢复效果都没FTK Imager恢复的效果好。
当然,每一款数据恢复软件各有优缺点,在实际数据恢复中,应多尝试些不同设备厂商的软件来恢复,不盲目相信单一软件的结果。
在FTK Imager左侧的证据树里面就可以按照磁盘镜像的原始结构查看里面的文件内容。
点开证据树,在右侧会显示对应文件夹及文件内容,打红色x号的表示数据已经被删除,被软件恢复功能所识别到,删除的文件显示有数据大小一般都可以成功导出。
导出后的数据能否被正常查看,取决于原始数据是否被新的数据覆盖,甚至可以进一步使用其它专业软件对导出的文件尝试修复。
可以单选或多选,选中需要导出的数据,直接右键或者选择工具栏上的导出按钮,导出数据到本地进行保存。(不管任何情况下,切忌导出的数据存到原始盘!!!)
导出结束提示:一般导出的速度取决于导出文件的大小,导出结束后会提示本次导出的结果记录,如果导出失败或者导出的数据没有大小(文件大小为0 KB),一般是该文件没有数据恢复成功。也可尝试其它专业数据恢复工具进行尝试恢复。
FTK Imager在视频恢复功能上,给我的感觉很好,恢复结果按照原始数据结构树呈现,方便查找,所见即所得。当然FTK Imager还有很多功能,可以自行探索。
注意:取证分析中使用的是镜像副本,不要直接对原始检材瞎搞!!!
注意:取证分析中使用的是镜像副本,不要直接对原始检材瞎搞!!!
注意:取证分析中使用的是镜像副本,不要直接对原始检材瞎搞!!!
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
名称 | 时间 |
---|---|
开始编辑日期 | 2021 年 12 月 13 日 |
最后编辑日期 | 2023 年 09 月 28 日 |