AccessData FTK Imager是一款鏡像制作軟件，可以幫助用戶進(jìn)行鏡像文件的制作，軟件可以加載各種格式的鏡像文件，在加載之后你可以在軟件中對(duì)鏡像的內(nèi)容進(jìn)行查看，你還可以加載后進(jìn)行編輯和修改，還能對(duì)鏡像進(jìn)行測(cè)試，確保成品資源可用。

支持 raw E01 dd 等各種鏡像文件，是免費(fèi)的一款工具。可掛載鏡像，創(chuàng)建鏡像文件。本版本為安裝版，不是綠色版，需要安裝后才能使用。支持E01、DD、L01、DMG、VMDK、VHD、AD1等幾十種鏡像格式，使用過(guò)程中幾乎沒(méi)有遇到掛在不了的鏡像格式。支持獲取當(dāng)前內(nèi)存鏡像、獲取受保護(hù)的文件，例如直接獲取當(dāng)前系統(tǒng)的注冊(cè)表文件。

軟件特色

數(shù)字取證

全面了解所發(fā)生的事情以及涉及的人員。 憑借我們的數(shù)字取證專業(yè)知識(shí)，AccessData 為您提供了幫助您分析計(jì)算機(jī)、移動(dòng)設(shè)備和網(wǎng)絡(luò)通信的工具。 當(dāng)你知道更多時(shí)，你可以做更多。

收集與分析

想要以更低的成本和更少的資源處理最大規(guī)模的收集需求嗎？ 需要降低風(fēng)險(xiǎn)或確保合規(guī)性？ AccessData 的有針對(duì)性的、可靠的收集、保存、保留、處理和數(shù)據(jù)評(píng)估工具可降低成本并降低風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)與合規(guī)

通過(guò)強(qiáng)大的、經(jīng)過(guò)驗(yàn)證的企業(yè)搜索、取證收集和分析來(lái)查找企業(yè)端點(diǎn)的信息風(fēng)險(xiǎn)并銷毀它們，以定位數(shù)據(jù)并評(píng)估合規(guī)性。 通過(guò)修復(fù)來(lái)阻止風(fēng)險(xiǎn)，使您能夠刪除違規(guī)文件、終止進(jìn)程并停止跨端點(diǎn)的不合規(guī)活動(dòng)。

改中文方法

在軟件中用戶可以進(jìn)行鏡像取證，但是軟件默認(rèn)是英文界面，很多的用戶英語(yǔ)水平不足的話，就會(huì)在使用過(guò)程中遇到問(wèn)題，用戶可以通過(guò)以下小編提供的方法對(duì)軟件的語(yǔ)言進(jìn)行修改，讓用戶可以更好的使用軟件。

1、新建txt

2、寫入下面代碼

3、改后綴為.reg，雙擊運(yùn)行即可漢化

中英文切換對(duì)照

​ 需要切換回英文的話，“CHS”改為“ENU”，再次運(yùn)行即可。

如何做鏡像

這款軟件的主要功能就是鏡像的制作，很多的用戶不知道怎么利用這款軟件進(jìn)行鏡像制作，下面小編為大家?guī)?lái)對(duì)應(yīng)的方法介紹，感興趣的用戶快來(lái)看看吧。

（一）選擇源證據(jù)類型

1、路徑：文件（F）->創(chuàng)建磁盤映像（C）->選擇源->物理驅(qū)動(dòng)器（P）

1）物理驅(qū)動(dòng)器（P）

整個(gè)驅(qū)動(dòng)器，如：識(shí)別到的是整塊硬盤、U盤等，而不管你分幾個(gè)分區(qū)；

2）邏輯驅(qū)動(dòng)器（L）

分區(qū)，如：一塊硬盤分C盤、D盤等；

3）映像文件（I）

鏡像文件，如：DD、E01等鏡像文件；

4）文件夾內(nèi)容（F）

文件夾，就是可對(duì)文件夾做出鏡像；

5）Fernico設(shè)備（多個(gè)CD/DVD）(D)

對(duì)光盤做鏡像；

（二）選擇需要做的磁盤

通過(guò)源驅(qū)動(dòng)選擇，可在選項(xiàng)處下拉，找到需要做鏡像的驅(qū)動(dòng)器，點(diǎn)擊完成；此處以30GB的SanDisk U盤作鏡像測(cè)試。

（三）選擇鏡像類型

考慮取證時(shí)間和存儲(chǔ)容量成本，一般建議制作E01鏡像，這里以DD鏡像來(lái)演示，其他類推。

DD是不壓縮的原始鏡像格式，原始硬盤多大，它做出來(lái)的鏡像就多大；E01是壓縮格式。

（四）填寫案件信息（可選）

案件編號(hào)、證據(jù)編號(hào)、唯一描述、檢查員、備注（全部都是非必填項(xiàng)）；

（五）設(shè)置鏡像參數(shù)！

1、鏡像保存位置、鏡像名

選擇鏡像存儲(chǔ)位置、自定義鏡像名；

2、是否分卷?。?！

這是比較容易忽略的地方，不想鏡像分卷的記得在此處填寫”0“?。?！

FTK Imager默認(rèn)鏡像分卷大小為1500MB；

RAW鏡像、E01和AFF填：0=不分卷；

默認(rèn)分卷

不分卷

3、加密設(shè)置（可選）

對(duì)鏡像進(jìn)行加密，密碼自行設(shè)置。

4、鏡像驗(yàn)證設(shè)置（可選）

勾選”創(chuàng)建后驗(yàn)證映像（V）“，校驗(yàn)比對(duì)鏡像的哈希值；

勾選“預(yù)計(jì)算進(jìn)度統(tǒng)計(jì)數(shù)據(jù)（P）“，可實(shí)時(shí)顯示鏡像制作的進(jìn)度；

勾選”為映像中所有已創(chuàng)建的文件創(chuàng)建目錄列表（D）“，為鏡像中的所有已創(chuàng)建到的文件新建一個(gè)目錄列表文檔，方便查看；

開始制作鏡像、勾選預(yù)計(jì)算進(jìn)度統(tǒng)計(jì)數(shù)據(jù)后可實(shí)時(shí)顯示鏡像制作的進(jìn)度。

5、鏡像制作完成

掛載磁盤鏡像教程

在軟件中你還可以磁盤鏡像的掛載，直接外接一個(gè)磁盤，讓你可以更輕松的擴(kuò)充自己的磁盤，下面小編為大家?guī)?lái)磁盤鏡像的掛載方法介紹，感興趣的用戶快來(lái)看看吧。

1、路徑：文件->Image Mounting

2、鏡像掛載前

填寫“鏡像路徑”->選擇“掛載模式”（圖中選擇的是“只讀”模式）->點(diǎn)擊“掛載”按鈕。

如果需要仿真系統(tǒng)，則掛載模式要選擇“可讀寫”（虛擬寫）模式。

3、鏡像掛載后

點(diǎn)擊“mount”按鈕，鏡像開始掛載，掛載成功后會(huì)出現(xiàn)驅(qū)動(dòng)器號(hào)和分區(qū)類型等。在這里就可以看到磁盤鏡像的文件格式、操作系統(tǒng)等參數(shù)。

4、文件資源管理器查看

掛載成功后就可以在文件管理器看到掛載的盤符了，因?yàn)檫@次掛載的是Linux的鏡像，目前Windows還無(wú)法直接顯示Linux的文件系統(tǒng)，所有看不到盤的數(shù)據(jù)內(nèi)容，有時(shí)候還會(huì)提示請(qǐng)“格式化磁盤”，關(guān)閉彈窗就好。