Získání obrazu disku pomocí nástroje FTK Imager

Praktický příklad vytvoření obrazu disku pomocí nástroje FTK Imager z disku bezpečně připojeného k separátní stanici.

1. Stáhněte si FTK imager
2. Vyjměte disk z podezřelé stanice
3. Připojte disk pomocí writeblockeru nebo USB-SATA/IDE převodníku
   • Pokud používáte pouze USB-SATA/IDE převodník, nezapomeňte si před připojením ještě upravit registry (zabrání zápisu na USB zařízení):

     reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v “WriteProtect” /t REG_DWORD /d 1 /f

• Separátní stanice.
• Externí nebo interní disk s větší kapacitou než disk, ze kterého bude vytvářen obraz.
• Write-blocker nebo USB-SATA/IDE převodník.
  • Poznámka: při interním připojení nelze zajistit read-only režim.
• Dostatek času k vytvoření obrazu disku (jednotky až desítky hodin).

1. Spuštění FTK Imager.exe.
2. Výběr možnosti File > Create Disk Image ….
   
3. Výběr možnosti Logical Drive ….
   
4. Výběr disku pro vytvoření obrazu (zde disk G: (NTFS)).
   
5. Výběr cílového umístění obrazu - přidáváno tlačítkem Add ….
   
6. Výběr typu obrazu Raw (dd).
   
7. Vyplnění identifikačních údajů případu.
   
8. Výběr specifikace umístění obrazu - cesta (pomocí Browse …) a jméno souboru.
   
9. Vybrané umístění bylo přidáno. Zaškrtněte ještě Verify images after they are created, pro ověření dokonalosti kopie.
   
10. Po stisknutí tlačítka Start se spustí vytváření obrazu.
    
11. Následně se spustí verifikace (byla-li zaškrtnuta).
    
12. Zobrazí se informace o výsledku verifikace (byla-li zaškrtnuta).
    
13. Zobrazí se informace o dokončení tvorby obrazu.
    
14. Tlačítkem Image Summary … v předchozím dialogu lze ještě zobrazit souhrnné informace o vytvořeném obrazu.
    
15. Odpojení disku z podezřelé stanice (bezpečně odebrat zařízení).
16. Nyní je na zvoleném disku uložen obraz disku původního.