镜像制作

磁盘镜像

1. 打开FTK Imager选择文件
2. 点击创建磁盘镜像

1. 选择自己需要的源证据类型

1. 在镜像目标这里选择需要的制作镜像类型

- 关于各镜像的区别请参考 证据文件格式

1. 证据项信息根据实际填写

2. 镜像目标选择

3. 镜像目标文件夹：制作成功的镜像存放的文件夹，请存放在外置硬盘中，禁止放在嫌疑人计算机中。

4. 镜像文件名：根据个人选择，注意不要包含后缀名。
5. 镜像分片大小：如因镜像太大，可能导致无法打开，因为需要将镜像切片，此处即 每个分片的大小。
6. 压缩：0为镜像原大小，数值越大 压缩程度越高。
7. Use AD Encryption：请根据实际情况选择

1. 点击Finsh即可开始制作

内存镜像

1. 在FTK Imager中选择文件-内存抓取

1. 内存抓取
2. 目标路径：抓取的内存镜像存放位置。
3. 目标文件名：需带上文件后缀名。
4. 包含pagefile：即电脑的虚拟内存，请参考：百度百科。
5. 创建AD1文件：请根据实际情况选择。
6. 点击 抓取内存 即可

评论