前回の記事ではFTK Imagerのダウンロードからインストールまで手順を紹介しました。
今回はフォレンジック対象PCのSSDやHDDからイメージファイル取得する手順を紹介します。できればイメージファイル取得までやりたかったのですがエラーになってできませんでしたので今回はイメージファイル取得までを書きたいと思います。
イメージファイル取得
①デスクトップのFTK Imagerのアイコンをクリック
②「Add Evidence item」をクリック
③「Logical Drive」を選択して「次へ」をクリック
④「Source Drive Selection」を確認して「Finish」をクリック
⑤Cドライブの中身を見えることを確認
⑥「C]を右クリックして「Export Image」をクリック
⑦「Add」をクリック
⑧「E01」を選択して「次へ」をクリック
⑨入力は任意となりますので空白のまま「次へ」でもOKです。
⑩imagefileの保存先を選択、ファイル名を命名、分割するファイルサイズ(今回の場合は4000)として「Finish」を選択
⑪「START」をクリック
⑫「Close」をクリック
まとめ
保存先のデバイス(例:USBメモリ)にファイルが保存されておりますのでこちらを読み込んでフォレンジック調査ができます。USBメモリを購入してそこに保存してImagefileからインポートしようとしたらエラーとなってしまいました。どうやらうまくイメージファイル取得できていないようです。また機を見て再チャレンジしてみたいと思います。