1.证据获取
2.哈希值计算
3.文件查看及提取
4.镜像文件挂载
5.数据恢复
6.特定数据提取
FTK image支撑获取的数据来源类型
物理磁盘
逻辑驱动器
镜像文件(EO1、DD 、smart、vmdk、gho、nero)
文件夹
物理内存
证据获取类型
物理镜像(针对特定物理磁盘或逻辑驱动器)
逻辑镜像(针对特定文件夹、磁盘特定对象)
内存镜像
证据获取-全盘物理镜像(1)
证据获取-全盘物理镜像(2)
证据获取-全盘物理镜像(3)
证据获取-全盘物理镜像(4)
证据获取-内存镜像(1)
证据获取-内存镜像(2)
证据获取-内存镜像(3)
后面再补../../../.../../
电子数据取证必备工具系列之磁盘镜像工具-FTK Imager
原文:https://www.cnblogs.com/nul1/p/12866851.html