FTK Imager 是免费的镜像工具，功能强大，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。另外，此工具完全免费，而且是绿色的，安装后复制安装目录到任意地方都可以直接运行。

FTK Imager磁盘镜像挂载神器，用于电子取证中将镜像、虚拟磁盘挂载为磁盘，方便直接进行取证

AccessData FTK Imager设置中文

FTK Imager 是免费的镜像工具，功能强大，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。另外，此工具完全免费，而且是绿色的，安装后复制安装目录到任意地方都可以直接运行。

FTK Imager 4.7现在支持AFF4格式，也支持在便携式驱动器上执行;将安装目录复制到便携式驱动器，例如 C：\Program Files\AccessData\FTK Imager。

证据镜像勘察工具，最大特点能挂载镜像进行仿真，扫描EFS加密数据，提取内存

取证工具包成像器 FTK Imager是一个简单但简洁的工具。 它将硬盘映像保存在一个文件中或分段中，稍后可能会对其进行重建。 在关闭文件之前，它将计算MD5哈希值并确认数据的完整性。 为Mac OSX安装FTK Imager git clone git@github.com:MrMugiwara/FTK-imager-OSX.git cd FTK-imager-OSX chmod +x ftkimager ./ftkimager --help 如何在MAC OSX上使用FTK Imager Usage: ./ftkimager source [dest_file] [options] AccessData FTK Imager C

一、实验项目名称 FTK Imager——证据获取 二、实验目的 掌握 FTK Imager的使用 三、实验任务 1、熟悉FTK Imager的使用 2、使用FTK Imager制作一个物理磁盘镜像，并计算出该盘的MD5. 3、制作一个逻辑磁盘镜像，查看逻辑磁盘中的文件内容，查询已经删除的文件，并恢复它。 4、挂载一个逻辑/物理磁盘，查询其内容，查看当前电脑是否多出相应的磁盘，并尝试打开它。 5、数据恢复，对已经删除的数据进行恢复。 6、制作DD镜像和E01镜像，比较两种镜像的不同出。

AccessData FTK Imager是经典的windows硬盘取证工具，可用于分析外来人员或者外来入侵人员对机器的操作，从中追踪溯源。此为安装版，可以减少很多不必要的麻烦。同时打包了中文语言包，直接使用中文版。

FTK-Imager-Triage-Note 抓取自定义分类图像时从Windows机器收集的东西 $ MFT-主文件表，它是系统上每个文件和文件夹的索引。 Pageflle.sys -Windows页面文件（RAM的扩展名）。 Hiberfile.sys： -Hibernate文件是上次系统进入Hibernate状态时RAM的压缩映像 $日志文件 $ USN $ Journal）：记录文件活动的文件（文件打开，关闭，创建，删除） 所有注册表配置单元，也许还有备份注册表配置单元： SAM 系统 软件 默认 NTUSER.DAT USRCLASS.DAT * .evtx setupapi.dev.log（即插即用日志文件 防火墙日志 IIS日志 [root] \ Windows \ System32 / logFiles [root] \ inetpub \ logs \