●第一章FTK Imager使用相關
●第一節FTK Imager關於鏡像文件制作的相關功能
●一、鏡像文件制作流程
●二、使用Imager制作鏡像文件中的注意事項
●第二節FTK Imager關於鏡像文件格式轉換與掛載的功能
●一、格式轉換DD/E01文件互相轉換,其他格式文件轉換成DD/E01
●二、FTK Imager關於鏡像文件掛載的功能
●第三節FTK Imager與現場取證相關的功能
●一、開機狀態下,獲取目標計算機的注冊表文件
●二、開機狀態下,獲取目標計算機內存
●三、開機狀態下,檢測目標計算機上是否含有EFS加密文件
●四、重要提示
●第二章FTK注冊表分析工具——Registry Viewer
●第一節注冊表及注冊表文件
●第二節注冊表文件的獲取
●第三節注冊表文件分析
●一、啟動、加載
●二、添加感興趣的內容
●三、制作報告
●四、說明......
內容簡介
FTK(ForensicToolkit)由美國AccessData公司開發,業界認可的電子數據檢驗旗艦產品,在AccessData公司的支持下,結合中國本地化應用的需求,瑞源公司逐步推進FTK的本地化工作,並融入EDEC繫列化工作站中。通過自主研發、繫統集成、售後服務、技術支持等相關工作實踐,並結合幾十期電子數據檢驗專業培訓班的宣講,北京瑞源文德科技有限公司技術工程師逐步積累了關於EDEC產品實際應用的經驗與技巧,編寫成《FTK實戰應用》,希望能為業內人員學習提供參考。