一、实验项目名称 FTK Imager——证据获取 二、实验目的 掌握 FTK Imager的使用 三、实验任务 1、熟悉FTK Imager的使用 2、使用FTK Imager制作一个物理磁盘镜像，并计算出该盘的MD5. 3、制作一个逻辑磁盘镜像，查看逻辑磁盘中的文件内容，查询已经删除的文件，并恢复它。 4、挂载一个逻辑/物理磁盘，查询其内容，查看当前电脑是否多出相应的磁盘，并尝试打开它。 5、数据恢复，对已经删除的数据进行恢复。 6、制作DD镜像和E01镜像，比较两种镜像的不同出。

AccessData FTK Imager是经典的windows硬盘取证工具，可用于分析外来人员或者外来入侵人员对机器的操作，从中追踪溯源。此为安装版，可以减少很多不必要的麻烦。同时打包了中文语言包，直接使用中文版。

FTK-Imager-Triage-Note 抓取自定义分类图像时从Windows机器收集的东西 $ MFT-主文件表，它是系统上每个文件和文件夹的索引。 Pageflle.sys -Windows页面文件（RAM的扩展名）。 Hiberfile.sys： -Hibernate文件是上次系统进入Hibernate状态时RAM的压缩映像 $日志文件 $ USN $ Journal）：记录文件活动的文件（文件打开，关闭，创建，删除） 所有注册表配置单元，也许还有备份注册表配置单元： SAM 系统 软件 默认 NTUSER.DAT USRCLASS.DAT * .evtx setupapi.dev.log（即插即用日志文件 防火墙日志 IIS日志 [root] \ Windows \ System32 / logFiles [root] \ inetpub \ logs \

软件介绍: AccessData_FTK_Imager 4.2.1为当前最新版本取证镜像工具。可挂载镜像，创建镜像文件。本版本为安装版，不是绿色版，需要安装后才能使用。支持E01、DD、L01、DMG、VMDK、VHD、AD1等几十种镜像格式，使用过程中几乎没有遇到挂在不了的镜像格式。支持获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。另外，此工具完全免费。

FTK Imager 4.2.0中文安装包，携带安装及中文设置视频教程 内含文件： AccessData_FTK_Imager_(x64)_4.2.0.exe FTK Imager安装及中文设置视频.mp4

AccessData FTK Imager 4.2，安装版，可以生成dd或者e01格式磁盘镜像

包括显着提高了镜像速度（我们将镜像时间缩短了一半）， 4.3.1.1进行了其他证据处理方面的改进，包括对 XFS文件系统的支持。

FTK Imager 最新版安装包，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。

FTK Imager 是免费的镜像工具，功能强大，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。另外，此工具完全免费，而且是绿色的，安装后复制安装目录到任意地方都可以直接运行。

最新ftk imager用户使用手册，对取证新手而言，值得收藏一波！