Imageur FTK, c'est un logiciel utilisé pour créer des fichiers d'image disque ou monter des images disque ou des périphériques de stockage, puis nous pouvons effectuer analyse de la structure du disque, récupération des données, etc. Ce logiciel permet localiser les fichiers perdus ou rechercher des données en analysant l'image disque à l'aide de mots-clés.
A l'aide du logiciel, une image est obtenue ou créée d'un disque dur dans un fichier de format:
- jj
- img
- ed01
- cru
Nous pouvons créer une image avec des parties du disque ou avec la partition entière qui peut être reconstruite plus tard.
L'un des avantages est qu'à la fin de la capture d'image, le logiciel calcule et génère une clé de hachage MD5 qui sera utilisée pour confirmer l'intégrité des données et que l'image que nous avons créée n'a pas été altérée, car aucun changement minime dans le fichier image, cela modifiera le code de sécurité et il ne correspondra pas à l'original.
FTK Imager est largement utilisé par les experts en informatique judiciaire car il vous permet de capturer des données à partir d'un appareil, de créer une image des données, puis d'évaluer les preuves numériques pour déterminer si une analyse plus détaillée est justifiée.
FTK Imager vous permet d'effectuer diverses tâches, dont certaines sont les suivantes :
- Créer des images médico-légales de disques durs disques logiques locaux, périphériques de stockage distants, appareils mobiles, lecteurs flash, disques Zip, CD et DVD, dossiers entiers ou fichiers individuels à partir de divers emplacements.
- Nous pouvons aussi prévisualiser et extraire le contenu des images médico-légales stockées sur un ordinateur local ou sur un lecteur réseau.
- FTK Imager nous permet également d'exporter des fichiers et des dossiers pour les traiter individuellement, affichez et récupérez les fichiers qui ont été effacés du disque ou d'une corbeille, mais qui n'ont pas encore été écrasés sur le lecteur.
- Créer des hachages MD5 et SHA-1 pour assurer et préserver l'intégrité des fichiers et de l'image que nous générons. Nous créons une image comme nous l'avons vu dans le didacticiel Disques durs et partitions Forensics avec autopsie. Nous pouvons également utiliser le même FTK Imager pour créer une image d'un périphérique de stockage.
Une image est une copie de tout ou partie du périphérique de stockage pour empêcher la modification accidentelle ou intentionnelle des données qui existent sur le périphérique de stockage, FTK Imager crée une image en copiant petit à petit, l'image résultante dans un fichier, est identique à la structure d'origine de l'appareil, y compris l'espace, la configuration de l'unité et tout fichier contenant l'unité même s'il était temporaire. Cela permet de stocker ces données dans un endroit sûr pour une enquête ultérieure à l'aide de l'image de l'appareil.
Après avoir téléchargé le programme d'installation sur le site officiel d'AccessData et procédé à l'installation du programme qui ne fonctionne que sous Windows.
Créer une image d'un appareil
Nous pouvons créer l'image avec le même logiciel à partir de l'option Créer une image disque.
A partir de Linux, nous pouvons utiliser le commande dd pour créer une image d'un lecteur ou d'un dossier particulier, comme suit :
sudo dd if =/dev/partition of =/home/myuser/file copy.ddLorsque nous avons l'image créée à partir de FTK Imager, nous devons ajouter le fichier de preuve, à partir du menu Fichier, ajouter des preuves.
Pour ce tutoriel, nous aurons une image appartenant à une mémoire flash.
Ensuite, nous devons indiquer à quel type d'unité appartient l'image, s'il s'agit d'une unité physique, d'une unité logique ou d'un fichier image, dans ce cas, nous sélectionnons le fichier image et cliquez sur Prochain.
Ensuite, nous verrons l'image et nous pourrons naviguer dans ses répertoires et fichiers, connaître ses caractéristiques, quel système d'exploitation il avait installé.
Ensuite, nous sommes en mesure d'analyser le disque virtuel en tant que disque physique, de cette manière tout ce qu'il contient, y compris les fichiers supprimés, peut être vu ou récupéré.
Dans l'exemple, nous pouvons voir comment nous pouvons récupérer certains fichiers de feuille de calcul. Nous pouvons même monter l'unité à partir de l'option Fichier> Monter l'image, une fois montée, l'image sera comme un lecteur de disque supplémentaire.
Ici, nous pouvons voir que lors du montage de l'unité, il apparaît dans le lecteur F :, nous l'avons maintenant disponible en tant que lecteur de disque virtuel et nous pouvons utiliser un logiciel tel que PhotoRec (vous l'avez en position 7 de cet article), que nous pouvons télécharger de son site officiel pour récupérer les fichiers supprimés.
PhotoREc Il est très simple à utiliser, il n'a pas besoin d'installation, il suffit d'indiquer quel lecteur ou partition nous voulons récupérer.
Ici, nous pouvons voir que notre lecteur virtuel F: apparaît avec le contenu de l'image disque. Nous sélectionnons l'unité puis ci-dessous nous indiquons dans quel répertoire les fichiers récupérés seront copiés par défaut ce sera recup_dir.
Nous pouvons voir les extensions des fichiers récupérés à partir du lecteur virtuel que nous avons créé, ce répertoire récupéré est physique, il n'est ni virtuel ni logique, nous aurons donc les fichiers à notre disposition en permanence. Ce logiciel a également récupéré des fichiers exe, nous pourrions donc les analyser pour voir s'il s'agit d'un virus ou d'un logiciel dangereux pour le système, il est donc préférable d'exécuter ce type d'analyse dans un machine virtuelle comme VirtualBox.
