FTK Imager är en kraftfull och fri mjukvara från Access Data som används av polisen, it-forensiker, myndigheter och företag för att skapa en spegelkopia (diskavbildning eller disk image) av den lokala hårddisken i datorer, externa hårddiskar, usb-minnen och cd-/dvd-skivor. Det går även att göra RAM-minnesavbilder (minnesdump) som innehåller värdefulla bevis som lösenord, krypteringsnycklar, körprocesser, nätverksanslutningar, injicerade kodfragment, sökhistorik och chattmeddelanden.

Programmet skapar även hashar av filer med någon av de två hash-funktionerna MD5 och SHA-1. Det kan generera hash-rapporter för spegelkopian och vanliga filer. När en spegelkopia – disk Image – av enheten skapas genereras hashar och FTK Imager används för att verifiera spegelkopians hashar.

Det finns även en portabel version av programmet som du kan köra från ett usb-minne utan att installera deb på operativsystemet. Detta för att undvika ändringar på beslagtagen utrustning.

I mitt fiktiva scenario griper polisen en misstänkt person på en brottsplats. Vid kroppsvisitation hittas ett usb-minne i den misstänkte personens plånbok och tjugo meter från brottsplatsen hittar polisen en ljuddämpare till en pistol i några buskar. Den misstänkte personen nekar till att har begått ett brott men polisen vill verkligen knyta den misstänkte till brottet. Frågan är: kan polisen koppla det beslagtagna usb-minnet till brottet?

Steg 1. Skapa och verifiera en spegelkopia

1. Vi använder Access Data FTK Imager för att skapa en spegelkopia av usb-minnet och analysera spegelbilden.

skärmbild

2. Ett nytt fönster visas med flera alternativ. Här väljer jag ”Physical Drive” eftersom vi kommer att kunna återskapa mer information jämfört med ”Logical Drive”.

skärmbild

3. Nu är det dags att välja den enhet som vi ska ta spegelkopian ifrån. I vårt fall blir det \\.\PHYSICALDRIVE1 - Kingston Data Traveler 2.0 USB Device.

skärmbild

4. Sedan klickar vi på ”Add” och väljer RAW (dd)-formatet. FTK Imager stöder också flera andra filformat.

skärmbild

5. Detta kommer att begära detaljerna i ärendet. Ange informationen i fälten som ska stå i rapporten eller i sammanfattningen.

skärmbild

6. Nu anger vi namn och sökväg där vi ska spara spegelkopian. Sedan lämnar vi ”Image Fragment Size” tomt eftersom vi inte behöver dela upp spegelkopian. Usb-minnet är bara 2 gigabyte. Om man har en terabytedisk att spegla kan man dela upp spegelkopian i flera delar. Sedan klickar vi på ”Finish”.

skärmbild

7. I sista steget klickar jag på startknappen och programmet visar källa och destination för spegelkopian.

Det finns tre kryssrutor längst ner. Jag har valt att verifiera kopian efter att den skapats.

Det är klokt att bocka av kryssrutan för ”Precalculate Progress Statistics”, annars det tar lite för lång tid att skapa kopian.

skärmbild

8. När kopian är klar skapas MD5- och SHA1-hashar, som programmet kommer att använda för att verifiera den.

skärmbild

Fakta

Spegelkopia: All information kopieras och överförs till en separat hårddisk som blir en exakt kopia av originaldisken.
Spegelkopiering: Kopiering av datamedium sektor för sektor till något annat datamedium.
Hash: Är som ett digitalt fingeravtryck för en fil.
MD5 (Message Digest 5): ett sätt att skapa hash.
SHA1 (Secure Hash Algorithm): ett annat sätt att skapa hash.
Hashsummor: Kontrollsummor.
Allokerat utrymme: Områden på mediet som är tilldelat som plats för filer och mappar.
Carving: Att skära ut information från en datamängd.
Data carve: Identifiering och extraktion av borttagna filer från odelade kluster med hjälp av filsignaturer.
Oallokerat utrymme: En del av lagringsutrymmet som är inte reserverat av operativsystemet och kan användas eller återanvändas för lagring av information.
Header: Markerar början på en fil.
Footer: Markerar slutet på en fil.
Ljuddämpare: En tillsats till en pistol som reducerar ljudet när vapnet avlossas.