蘇小沐的电子数据取证博客

使用FTK imager校验E01镜像文件的源盘哈希值---【蘇小沐】

简单记录下WinHex哈希校验大小写值转换和新增加的一些功能、常用设置，WinHex时不时增加点小功能的，挺喜欢这种的，像挖宝藏一样，总会给你一些惊喜\---【蘇小沐】

软只读还可以通过修改注册表、CMD命令修改成只读，FTK、WinHex这些也可以，请自行尝试。【蘇小沐】

这款网络工具里面的链接我最后一次更新是在2022年10月，后面我将其它工具集合到一起后就没再更新，如遇到失效的链接请自行更换或自定义添加等。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【工具箱】自动获取资源合集。！！**转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2020年 11月 02日最后编辑：2024年 03月 21日。

简单写下WinHex数据擦除功能---【蘇小沐】

WinFR界面版完全调用Windows文件恢复（Microsoft 命令行应用程序），可快速从Windows11/10中恢复已删除的文件---【蘇小沐】

书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词自动获取资源合集，如链接失效请留言，便于及时更新。转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】记录开始编辑：2024年 01月 15日最后编辑：2024年 01月 15日。

大多数为开源或免费的电子取证相关工具---【蘇小沐】

【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真​ 星河滚烫，人生有理想！​ —【suy999】文章目录【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真（一）使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)（二）FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"！！！（三）VMware新

【FTK Imager篇】FTK Imager制作内存镜像​ FTK Imager制作内存镜像—【suy】文章目录【FTK Imager篇】FTK Imager制作内存镜像捕获内存镜像（一）菜单栏：文件->捕获内存镜像（二）工具栏：捕获内存镜像图标（三）内存镜像完成镜像文件与页信息文件捕获内存镜像可以从菜单栏或工具栏点击内存捕获按钮制作内存镜像。（一）菜单栏：文件->捕获内存镜像（二）工具栏：捕获内存镜像图标填写镜像存储路径、镜像名；以及可选项：包括页信息、创建AD1文件

FTK Imager汉化、FTK Imager中文版FTK Imager一款功能强大的镜像取证工具，但默认是不支持语言切换功能的，对于大部分人，尤其是新入门的小伙伴来说，还是中文界面看着更得心应手些，下面提供一个简单的方法，那就是修改“注册表”，一键就可以切换为中文。 —【suy】文章目录FTK Imager汉化、FTK Imager中文版一、FTK Imager中文界面1、文件2、查看英文界面二、汉化、切换中文步骤1、新建txt2、写入下面代码3、改后缀为.reg，双击运行即可汉化中英文切换对照三、注

【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译FTK Imager制作完镜像后，会生成镜像文件和哈希报告，来验证镜像文件的哈希值和驱动器哈希值在创建镜像后是否匹配，以用作基准来证明案例证据的完整性。 —【suy】文章目录【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译磁盘哈希报告哈希报告翻译磁盘哈希报告哈希报告翻译文本翻译的可能不够准确，仅供参考！名称时间最后编辑日期：2020 年 11 月 29 日...

FTK Imager制作镜像详细介绍以DD镜像制造为例，详细介绍了FTK Imager创建镜像的过程，记得大学的时候学习这些没什么教程，找到的资料也是语焉不详，故在此啰嗦一番—【suy】文章目录FTK Imager制作镜像详细介绍一、磁盘镜像制作步骤（一）选择源证据类型1、路径：文件（F）->创建磁盘映像（C）->选择源->物理驱动器（P）（二）选择需要做的磁盘（三）选择镜像类型（四）填写案件信息（可选）（五）设置镜像参数！1、镜像保存位置、镜像名2、是否分卷！！！默认分卷不分卷3、加

FTK Imager在视频恢复功能上，给我的感觉很好，恢复结果按照原始数据结构树呈现，方便查找，所见即所得---【蘇小沐】

Autopsy案例更改时区

Autopsy是The Sleuth Kit（TSK）的图形界面版开源的数字取证工具，可用来分析磁盘镜像和恢复删除的文件，提供在磁盘镜像中进行字符串提取，包括关键字搜索，哈希匹配，注册表分析，Web分析，恢复文件，时间轴分析，chrome，firefox 等浏览器历史分析，关键字搜索和邮件分析等功能，并具有可扩展性（附加模块）。由于本人能力有限，纯粹做个记录，文中如有不妥和错漏之处欢迎批评指正。【著作所有权归作者蘇小沐所有，转载请注明文章出处】

Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】以本地E01镜像做实验测试。【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置—蘇小沐要创建案例，请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。软件启动界面如下，选择"新建案件"。将案件名和存储路径填好后，方可进入下一步操作。选填项可不填写，如果是正式案件，建议填写好，以便记录与回溯

Autopsy案例分析报告导出。—【蘇小沐】

数据无价，操作需谨慎！！！数据无价，操作需谨慎！！！数据无价，操作需谨慎！！！这篇是2020年闲的时候测试的，间隔时间也比较久了，当时纯粹是好奇镜像还原到不同大小的硬盘会怎么样，如果做数据恢复的话效果如何，其中测试过程可能不太完整，见谅。---【蘇小沐】

【WinHex篇】WinHex只读模式（写保护）设置手边没有硬件只读锁，可尝试用软只读的模式来做临时代替，非绝对的安全，非必要不要使用案件检材，防止被污染。—【suy】文章目录【WinHex篇】WinHex只读模式（写保护）设置只读模式（写保护）总结只读模式（写保护）同创建磁盘镜像的步骤路径：选项（O）->编辑模式（M）->只读模式（写保护）；总结软只读并非绝对的安全，只是通过修改注册表的方式来屏蔽端口，常用于测试使用，有条件的最好还是用硬只读的方式来对检材进行操作，防止检材被污

【WinHex篇】WinHex跳过坏扇区制作磁盘镜像在镜像制作的过程中，如遇到有坏分区、坏磁道导致镜像制作失败，可使用WinHex设置遇到坏扇区跳过，从而保证镜像的成功制作，但对于坏扇区较多的情况，镜像受损的区域是没有数据的，因为设置了坏扇区跳过，如需分析则需要更底层的硬件设备才能实现，此处只是为了方便取证分析而作的记录，仅供参考。—【suy】文章目录【WinHex篇】WinHex跳过坏扇区制作磁盘镜像1、创建磁盘镜像2、设置跳过坏扇区总结1、创建磁盘镜像同创建磁盘镜像的步骤路径：文件（F）-&g

【WinHex篇】WinHex制作特定区域镜像教程在取证分析的过程中经常会遇到有坏分区、未知的视频监控格式等取证软件无法正常取证的磁盘、我们首先需要查明它的文件格式，但现在的磁盘动辄TB级以上，如果对其全盘镜像，不仅耗时耗资，也不方便移动传输；此时我们可以先对该磁盘进行部分镜像，也就是对磁盘的特定区域进行镜像，下面用WinHex来介绍对磁盘进行特定区域的镜像教程—【suy】文章目录【WinHex篇】WinHex制作特定区域镜像教程1、创建磁盘镜像2、指定镜像大小3、镜像制作完成4、镜像文本记录总结1、

WinHex制作磁盘镜像教程—【suy】文章目录1、路径：文件（F）->创建磁盘镜像（C）->选择磁盘2、选择驱

文件签名一个文件的类型或文件格式是基于它的“文件签名”，而不是它的“文件扩展名”。在取证分析中，发现搜索的证据文件打不开的文件时候考虑原文件的原始文件类型，可使用WinHex等十六进制工具打开文件，查看文件头信息。...

【WinHex篇】WinHex制作磁盘镜像教程​ WinHex镜像功能—【suy】文章目录【WinHex篇】WinHex制作磁盘镜像教程一、磁盘克隆（扇区复制）（一）源盘：选择镜像磁盘（二）目标盘：选择保存路径1、先选择保存的驱动器2、直接选择保存的文件夹路径、并命名镜像（需要加后缀）（三）开始制作镜像总结一、磁盘克隆（扇区复制）路径：工具（T）->磁盘工具（O）->磁盘克隆（D）；主要分三块区域。（一）源盘：选择镜像磁盘上半部分-逻辑分区；下半部分-物理磁盘。在源

【WinHex篇】WinHex功能面板简介.md​ WinHex功能面板简介—【suy】文章目录【WinHex篇】WinHex功能面板简介.md一、WinHex简介二、功能面板A-菜单栏B-工具栏C-案件数据D-当前状态栏E-偏移量纵坐标F-偏移量横坐标G-分区快捷入口H-16进制数据编辑区I-文本区J-详细信息栏K-扇区L-分隔扇区M-数据解析器参考资料一、WinHex简介WinHex是由“X-Ways软件技术公司”开发的一款专业的磁盘编辑工具，是在Windows下运行的十六进制（hex）编辑

WinHex设置中文语言—【suy】文章目录中文设置中文显示中文设置路径：Help->Setup->中文；中文显示名称时间最后编辑日期：2020 年 11 月 30 日