1.基本介紹
FTK Imager是以記憶體鑑識為主的鑑識工具,能透過此工具鑑識電腦中磁碟的內容並拷貝下來做成映像檔,若有刪除的檔案也能透過此工具復原,API的介面淺顯易懂,在產生映像檔的過程中可將資料加密,能將數位證據保存且防止資料外洩,完成映像檔後程式中也會出現驗證結果,確保資料的產生是否完整或遭到竄改。完成後映像檔中的檔案會有檔名、檔案路徑、檔案大小、時間、刪除的狀態等資訊。
2.操作介面
3.使用心得
優點:
1.影像收集和製作功能:FTK Imager 提供了強大的影像收集和製作功能,可以捕捉和保存數位証據的影像。它支持多種格式,包括RAW、E01、DD和ISO,並且可以對收集到的影像進行壓縮和加密。
2.快速和高效:FTK Imager 設計用於高效地處理大量的數位証據。它具有快速的影像收集和製作速度,可以在短時間內完成証據影像的製作和保存,提高了數位鑑識工作的效率。
3.支持多種影像格式:FTK Imager 支持多種常用的影像格式,這使得証據影像的互相轉換和兼容變得更容易。它可以讀取和寫入多種影像格式,方便與其他數位鑑識工具和平台進行整合和共享証據。
缺點:
1.有限的分析和解析能力:FTK Imager 的主要功能是影像收集和製作,相對於全面的數位鑑識工具來說,它在分析和解析証據的能力上較為有限。對於深入的証據分析和關聯性探索,可能需要使用其他工具來進行進一步的處理和分析。
2.付費軟體:FTK Imager 是一個商業軟體,需要付費購買許可證才能使用。這可能對一些用戶來說是一個限制因素,特別是對於個人使用者或預算有限的組織來說。
3.資源消耗較高:由於處理和製作大量証據影像可能需要較高的系統資源,包括處理器和內存。在較低配置的系統上運行時,可能會導致性能下降或系統變得緩慢。
