Guide complet sur l'imageur FTK

L’imageur FTK est un logiciel open-source d’AccessData qui est utilisé pour créer des copies précises de la preuve originale sans réellement y apporter de modifications. L’image de la preuve originale reste la même et nous permet de copier des données à un rythme beaucoup plus rapide, qui peuvent être bientôt préservées et peuvent être analysées plus loin.

L’imageur FTK vous fournit également la fonction de vérification d’intégrité intégrée qui génère un rapport de hachage qui aide à faire correspondre le hachage de la preuve avant et après la création de l’image de la preuve originale.

Table des matières

Création d’une image médico-légale
Capture de la mémoire
Analyse du dump de l’image
Montage de l’image sur le disque
Image de contenu personnalisée utilisant le cryptage AD. cryptage
Décryptage du cryptage AD
Obtenir des fichiers protégés
Détecter le cryptage EFS
Exporter les fichiers

Commençons par créer une copie image de la preuve originale.

Créer une image médico-légale

L’imagerie médico-légale est l’une des étapes les plus cruciales de l’enquête médico-légale numérique. C’est le processus qui consiste à faire une copie d’archivage ou de sauvegarde de l’ensemble du disque dur. Il s’agit d’un fichier de stockage qui contient toutes les informations nécessaires pour démarrer le système d’exploitation. Cependant, ce disque imagé doit être appliqué au disque dur pour fonctionner. Il n’est pas possible de restaurer un disque dur en plaçant les fichiers d’image disque dessus, car ils doivent être ouverts et installés sur le disque à l’aide d’un programme d’imagerie. Un seul disque dur peut contenir plusieurs images de disque. Les images de disque peuvent également être stockées sur des lecteurs flash avec une plus grande capacité.

Ouvrir FTK Imager par AccessData après l’avoir installé, et vous verrez la fenêtre pop-up qui est la première page à laquelle cet outil s’ouvre.

Maintenant, pour créer une image de disque. Cliquez sur Fichier > Créer une image disque.

Maintenant, vous pouvez choisir la source en fonction du lecteur que vous avez. Il peut s’agir d’un lecteur physique ou logique en fonction de votre preuve.

Un lecteur physique est le matériel de stockage principal ou le composant dans un périphérique, qui est utilisé pour stocker, récupérer et organiser les données.

Un lecteur logique est généralement un espace de lecteur qui est créé sur un disque dur physique. Un lecteur logique a ses paramètres et ses fonctions parce qu’il fonctionne indépendamment.

Maintenant, choisissez la source de votre lecteur dont vous voulez créer une copie image.

Ajouter le chemin de Destination de l’image qui va être créée. Du point de vue médico-légal, Il devrait être copié dans un disque dur séparé et plusieurs copies de la preuve originale devraient être créées pour empêcher la perte de preuves.

Sélectionner le format de l’image que vous voulez créer. Les différents formats pour créer l’image sont :

Raw(dd) : C’est une copie bit à bit de la preuve originale qui est créée sans aucun ajout et ou suppression. Ils ne contiennent pas de métadonnées.

SMART : C’est un format d’image qui était utilisé pour Linux qui n’est plus populairement utilisé.

E01 : C’est l’abréviation de EnCase Evidence File, qui est un format couramment utilisé pour l’imagerie et qui est similaire à

AFF : Il signifie Advanced Forensic Format qui est un type de format open-source.

Maintenant, ajoutez les détails de l’image pour procéder.

Maintenant, ajoutez enfin la destination du fichier image, nommez le fichier image et cliquez sur Terminer.

Une fois que vous avez ajouté le chemin de destination, vous pouvez maintenant commencer avec l’Imagerie et aussi cliquer sur l’option de vérification pour générer un hachage.

Maintenant, attendons quelques minutes pour que l’image soit créée.

Après la création de l’image, un résultat de hachage est généré qui vérifie le hachage MD5, le hachage SHA1 et la présence de tout secteur défectueux.

Capture de mémoire

C’est la méthode de capture et de vidage du contenu d’un contenu volatile dans un dispositif de stockage non volatile afin de le préserver pour une enquête ultérieure. Une analyse bélier ne peut être menée à bien que lorsque l’acquisition a été effectuée avec précision sans corrompre l’image de la mémoire volatile. Dans cette phase, l’enquêteur doit faire attention à ses décisions de collecter les données volatiles car elles n’existeront plus après que le système subisse un redémarrage.

Maintenant, commençons par capturer la mémoire.

Pour capturer la mémoire, cliquez sur Fichier > Capturer la mémoire.

Choisissez le chemin de destination et le nom du fichier de destination, et cliquez sur capturer la mémoire.

Maintenant attendons quelques minutes jusqu’à ce que la ram soit capturée.

Analyse de l’image Dump

Maintenant analysons l’image RAW Dump une fois qu’elle a été acquise en utilisant l’imageur FTK. Pour commencer l’analyse, cliquez sur Fichier> Ajouter un élément de preuve.

Maintenant, sélectionnez la source du fichier dump que vous avez déjà créé, donc ici vous devez sélectionner l’option de fichier image et cliquez sur Suivant.

Choisissez le chemin du dump d’image que vous avez capturé en cliquant sur Browse.

Une fois que le dump d’image est attaché à la partie analyse, vous verrez un arbre de preuve qui a le contenu des fichiers du dump d’image. Cela pourrait avoir des données supprimées ainsi que des données écrasées.

Pour analyser d’autres choses plus loin, nous allons maintenant supprimer cet élément de preuve en faisant un clic droit sur le cas et en cliquant sur Supprimer l’élément de preuve

Montage de l’image sur le lecteur

Pour monter l’image comme un lecteur dans votre système, cliquez sur Fichier >Montage de l’image

Une fois que la fenêtre Monter l’image sur le lecteur apparaît, vous pouvez ajouter le chemin d’accès au fichier image que vous voulez monter et cliquer sur Monter.

Vous pouvez maintenant voir que le fichier image a été monté en tant que lecteur.

Image de contenu personnalisée avec cryptage AD

L’imageurFTK possède une fonction qui lui permet de crypter des fichiers d’un type particulier selon l’exigence de l’examinateur. Cliquez sur les fichiers que vous voulez ajouter à l’image de contenu personnalisé avec le cryptage AD.

Tous les fichiers sélectionnés seront affichés dans une nouvelle fenêtre, puis cliquez sur Créer une image pour continuer.

Remplir les détails requis pour la preuve qui doit être créée.

Ajouter maintenant la destination du fichier image qui doit être créé, nommer le fichier image et ensuite cocher la case avec le cryptage AD, puis cliquer sur Terminer.

Une nouvelle fenêtre apparaîtra pour crypter l’image, Maintenant louez et entrez à nouveau le mot de passe que vous voulez ajouter pour votre image.

Maintenant pour voir les fichiers cryptés, cliquez sur File> Add Evidence Item…

La fenêtre pour décrypter les fichiers cryptés apparaîtra une fois que vous aurez ajouté la source du fichier. Entrez le mot de passe et cliquez sur OK.

Vous verrez maintenant les deux fichiers cryptés lors de la saisie des mots de passe valides.

Décrypter l’image AD1

Pour décrypter l’image du contenu personnalisé, cliquez sur Fichier> Décrypter l’image AD1.

Maintenant vous devez entrer le mot de passe pour le fichier image qui a été crypté et cliquez sur Ok.

Maintenant, attendez quelques minutes jusqu’à ce que l’image décryptée soit créée.

Pour voir l’image de contenu personnalisé décryptée, ajoutez le chemin du fichier décrypté et cliquez sur Terminer.

Vous pourrez maintenant voir les fichiers cryptés en utilisant le bon mot de passe pour le décrypter.

Obtenir les fichiers protégés

Certains fichiers sont protégés sur la récupération, pour obtenir ces fichiers, cliquez sur Fichier> Obtenir les fichiers protégés

Une nouvelle fenêtre apparaîtra et cliquez sur parcourir pour ajouter la destination du fichier qui est protégé et cliquez sur l’option qui dit récupération du mot de passe et tous les fichiers de registre et cliquez sur OK.