FTK Imager

Функциональные возможности FTK Imager включают в себя:

• создание побитовых (bit-by-bit) криминалистических образов дисков и других носителей в форматах RAW (DD), E01, SMART и AFF^[1][2];
• захват содержимого оперативной памяти (Live RAM Acquisition) работающей системы для дальнейшего исследования запущенных процессов, сетевых соединений и ключей шифрования^[3][4];
• просмотр и анализ файловой структуры внутри созданного образа без изменений оригинальных данных, включая работу с удалёнными и скрытыми файлами^[5];
• выборочное извлечение файлов и папок для последующего детального исследования^[5][2];
• восстановление удалённых данных методом data carving путём сканирования нераспределённого пространства диска и поиска по сигнатурам файлов^[6];
• вычисление и верификация хеш-значений (MD5, SHA-1, SHA-256) как для всего образа, так и для отдельных файлов с целью контроля целостности доказательств^[2];
• поддержка файловых систем NTFS, FAT, EXT2/3/4, HFS+ и других, что обеспечивает совместимость с различными устройствами^[5];
• извлечение метаданных (даты создания, изменения, сведения о пользователе и др.) из файлов^[2];
• полнотекстовый поиск по ключевым словам и шаблонам в содержимом файлов и образов^[6];
• монтирование образов в режиме «только чтение», позволяющее работать с ними в среде Проводника Windows или подключать к сторонним инструментам^[7];
• формирование отчётов и журналов действий эксперта^[8];
• фильтрацию и сортировку результатов для удобства навигации по собранным данным^[2].

FTK Imager применяется на разных этапах цифрового расследования. Сбор дисковых образов

• При изучении инцидентов информационной безопасности (например, заражения вредоносным ПО) следователь создаёт побитовый образ системного диска, чтобы анализировать его без риска изменить исходные данные^[9].
• Для судебно-технической экспертизы создаётся немодифицированная копия логического раздела компьютера подозреваемого; такая копия может быть представлена в суде как доказательство^[9][10].
• При работе с повреждёнными носителями создаётся образ для восстановления информации без риска усугубить повреждения оригинала^[10].

Захват оперативной памяти

• Для обнаружения безфайлового вредоносного ПО, находящегося лишь в ОЗУ, специалист выполняет дамп памяти и анализирует его сигнатурным и поведенческим методами^[3][4].
• Во время «живого» расследования (live forensics) FTK Imager используется для сохранения наиболее изменчивых доказательств сразу после обнаружения атаки, до выключения сервера или рабочей станции^[10].

Анализ и извлечение данных

• После создания образа диска следователь может просматривать файловую систему, извлекать отдельные документы и восстанавливать удалённые файлы для последующего изучения в специализированных анализаторах^[11][12].
• Из защищённых системных файлов (SAM, SECURITY, SOFTWARE, SYSTEM) извлекается информация о учётных записях, конфигурации и активности пользователя^[13].
• Монтирование полученного образа в режиме «только чтение» позволяет подключить его к другим криминалистическим платформам (Autopsy, X-Ways и т. д.) без изменения исходного содержания^[7].