计算机取证（Windows）FTK+X-Way取证复制

一、利用FTK Imager 进行取证复制

二、利用X-Ways Forensics进行取证

一、利用FTK Imager 进行取证复制

1.在windows 10虚拟机添加一个硬盘2，分配1G的磁盘空间，如下图所示：

2.将物理机下载的用到的软件拷贝到windows虚拟机中，如下所示：

3.打开DiskGenius工具建立新分区，为下面抓取磁盘镜像做准备，如下所示：

4.建立新分区，选择拓展磁盘分区，如下：

接着，选择逻辑分区，文件系统类型为FAT32，分区大小设为500MB，如下：

最后，选择逻辑分区，文件系统类型设为NTFS，磁盘分区为剩下的字节，如下所示：

完成以上分区设置后，保存更改。即可完成新磁盘的分配，如下所示：

5.在我们的windows 10虚拟机中，选择三个较小的文件，分别存放到刚刚分好的磁盘E和F中，这里我选择将Windows Mail和Windows NT存放到E盘中，将Windows Photo Viever存放到F盘中，如下所示：

6.在磁盘C下，创建三个文件夹，用于存放实验过程中产生的数据，如下：

7.打开FTK ImagerChs，点击内存条图表，如下图所示：

更换内存抓取的目标路径为刚刚在C盘创建的文件夹Workspaces的子目录memory中，使用自动生成的目标文件名，最后点击抓取内存，如下图所示：

完成以上步骤后，会出现如下的内存获取进度条，表示内存抓取成功，如下：

我们通过以下步骤进行验证。

8.点击文件下的添加图标，选择镜像文件，然后点击下一步。如下所所示：

接着，选择源证据的目录，即我们在第7步生成的目标文件的位置，最后点击Finish,如下所示：

9.完成以上步骤后在证据树下会生成一个memdump的证据，右键选择校验驱动器/镜像，如下所示：

校验后会生成一个校验结果，说明抓取镜像成功，如下所示：

最后，右键将镜像移除，如下所示：

10.使用FTK Imager创建磁盘镜像，如下：

选择物理驱动器，如下所示：

选择磁盘分区出来的1G的盘，然后点击Finish,如下所示：

完成上面后，会出现一个Create Image页面，点击Add,选择目标镜像类型为E01如下所示：

11.添加证据项的信息，案件编号设置为：具体如下所示：

12.更改镜像路径。存放到C盘中的新建的Workspaces下的子目录FTK_img中，更改镜像名称为证据1：evidence_1,如下所示：

更好以上数据后，勾选图示所有选项：

13.扫描完成的进度条如下所示：

14.生成的镜像校验结果如下图所示:

15.在C盘下的对应的文件夹也会生成相应的文件，如下：

16.查看evidence_1.E01文件，如下：

二、利用X-Ways Forensics进行取证

1.首先在C盘下，Workspaces文件下的X_ways_img下创建六个存放数据的文件夹，如下所示：

2.打开X-Ways Forensics工具，点击菜单栏的Options,点击General,如下所示：

3.更改文件的路径。将以下图示的位置更改为步骤1设置的目录中，如下所示：

4.创建一个新的Case，如下所示：

将新的case命名为test_1,选择存放的路径为X_ways_img下的images中，添加为：A test for homework，添加实验者为zhongsirong。具体如下所示：

5.在File下选择Add Medium，如下所示：

6.选择磁盘为E盘，如下所示：

7.在File中选择创建磁盘镜像，如下所示：

创建完成，如下：

查看Drive E.txt可以看到E盘的哈希值的MD5码，如下:

最后将E盘移除，如下所示：

8.接着是F盘进行同样的操作，如下所示：

9.完成以上的步骤后，E盘和F盘会生成对应的E01文件，如下所示。

点击File，Add Image,如下：

加入上面生成驱动镜像文件，如下 :

10.右键test_1下的DriveE,选择Properties,如下:

E盘取证成功，如下：

11.右键test_1下的DriveF,选择Properties,如下：

F盘取证成功，如下：