在數位化的時代,資料已成為企業與個人的核心資產。當資安事件(如勒索軟體攻擊、駭客入侵或內部資料竊取)發生時,如何以科學且嚴謹的方式保存、分析數位證據,便成為至關重要的課題。數位鑑識(Digital Forensics)的核心宗旨在於維持證據的完整性與原始性,而一個強大且可靠的工具是所有鑑識工作的基石。
AccessData (現為 Exterro) 公司開發的 FTK Imager,正是全球鑑識領域廣泛信賴的標準工具之一。它不僅功能強大,其友善的interface更重要的是提供免費版本,讓無論是企業資安人員、執法人員,還是對鑑識技術有興趣的學習者,都能夠接觸到專業級的影像製作與分析功能。本文將整合多方實務經驗,從基礎設定到三大核心功能——記憶體擷取、磁碟影像製作(disk image)、影像掛載與資料恢復,提供一份詳盡且深入的實戰指南,幫助您完全掌握這款數位鑑識利器。
FTK Imager 基礎設定與環境準備
在開始鑑識工作前,正確的工具設定是確保流程順暢無誤的第一步。
1. 下載與安裝
FTK Imager 可於其母公司 Exterro 的官方網站免費下載最新version。安裝過程相當直觀,但請注意,在進行任何鑑識操作時,強烈建議「以系統管理員身分執行」FTK Imager,以確保程式擁有足夠的權限來存取底層的物理磁碟與系統記憶體。
2. 中文介面設定 (獨家技巧)
FTK Imager 預設interface為英文,對於部分使用者可能造成操作上的不便。透過修改 Windows 登錄檔,可以輕鬆將其切換為繁體中文友善的介面。
步驟如下:
- 在 Windows 搜尋欄輸入 regedit 並執行「登錄編輯程式」。
- 尋找並定位到以下路徑:HKEY_CURRENT_USER\SOFTWARE\AccessData
- 在右方窗格中,按一下右鍵,選擇「新增」 -> 「字串值」。
- 將新字串值的名稱設定為 Preferred Language。
- 按兩下 Preferred Language,並在「數值資料」欄位中輸入 CHS (代表簡體中文,但其字庫能大幅支援繁體中文的正確顯示)。
- 關閉登錄編輯程式,重新啟動 FTK Imager 即可看到中文介面。
若要切換回英文介面,只需將 CHS 修改為 ENU 即可。
| 設定項目 | 路徑 | 機碼名稱 | 數值資料 | 效果 |
|---|---|---|---|---|
| 切換至中文 | HKEY_CURRENT_USER\SOFTWARE\AccessData | Preferred Language | CHS | 顯示中文介面 |
| 切換回英文 | HKEY_CURRENT_USER\SOFTWARE\AccessData | Preferred Language | ENU | 顯示英文介面 |
核心功能一:證據影像檔製作
鑑識的第一原則是「不更動原始證據」。因此,我們必須對來源裝置(記憶體、硬碟)製作一份逐位元複製 (Bit-for-Bit) 的影像檔,後續所有分析都將基於這份影像檔進行。
1. 記憶體擷取 (.mem)
記憶體是揮發性儲存媒體 (Volatile Memory),其儲存的資料(如:執行中的惡意程式、網路連線狀態、使用者帳號密碼、加密金鑰等)會在系統斷電後立即消失。因此,在處理一個仍在運作中的受駭主機時,記憶體擷取是鑑識流程的絕對第一優先。許多資安事件中,受害者情急之下直接拔除主機電源,這將導致最關鍵的動態證據永久遺失,大幅增加後續分析的難度。
操作步驟:
- 在 FTK Imager 主選單選擇「檔案(F)」 -> 「捕獲內存(C)…」。
- 在彈出視窗中,設定「映像檔目標路徑」與「映像檔檔案名稱」。
- 選項勾選:
包括頁面文件:建議勾選,分頁檔 (pagefile.sys) 常包含記憶體換出 (swap out) 的重要資料片段。
創建 AD1 文件:將記憶體影像與頁面文件一同打包成 AccessData 的 AD1 格式,方便後續管理。
點擊「捕獲內存」,等待進度條完成。
完成後,程式會顯示一份包含 MD5 與 SHA1 雜湊值的報告。務必將此報告截圖或存檔,這是證明記憶體影像檔完整未被竄改的關鍵數位指紋。
值得注意的是,產生的記憶體影像檔大小,並非等於實體記憶體容量,而是取決於當下記憶體與分頁檔的實際使用量,因此可能大於或小於實體 RAM 的容量。
2. 磁碟影像製作 (.dd, .e01)
磁碟影像是對硬碟(disk)、SSD、USB 隨身碟等非揮發性儲存媒體進行的完整複製。這類型的images是數位鑑識的基礎。
A. 選擇證據來源
在「檔案(F)」 -> 「創建磁碟映像(C)」後,第一步是選擇來源:
- 物理驅動器 (Physical Drive):對整個儲存裝置(例如整顆 1TB SSD)進行影像製作,這是最完整、最推薦的選項。
- 邏輯驅動器 (Logical Drive):僅對單一分割區(例如 C槽 或 D槽)進行影像製作。
- 映像文件 (Image File):對一個已存在的影像檔進行格式轉換或重新處理。
- 資料夾內容 (Contents of a Folder):僅將特定資料夾的內容打包成影像。
- Fernico 設備:用於擷取 CD/DVD 光碟內容。
B. 設定影像檔格式
FTK Imager 支援多種格式,其中最常用的是 Raw(dd) 和 E01。
| 格式 | 全名 | 特點 | 適用情境 |
|---|---|---|---|
| Raw (dd) | Data Dump | 原始位元流複製,無壓縮,影像檔大小與來源磁碟完全相同。擁有最高的相容性,幾乎所有鑑識軟體都支援。 | 需要最大相容性,或儲存空間不成問題時。 |
| E01 | EnCase Evidence File | 業界標準格式,由鑑識軟體 EnCase 建立。支援壓縮 (可大幅節省儲存空間)、AES-256 加密,並可內嵌案件編號、證據描述、鑑識人員等元數據。 | 數位鑑識實務中最推薦的格式,兼顧空間效率與證據管理的完整性。 |
| AFF | Advanced Forensics Format | 一種開源的鑑識格式,同樣支援壓縮與元數據。 | 在需要開源工具鏈整合時使用。 |
C. 詳細步驟教學
以製作 E01 格式為例:
- 選擇來源:選擇「物理驅動器」,並選定目標磁碟。
- 選擇格式:點選「添加(A)…」,選擇 E01。
- 填寫案件資訊 (Evidence Item Information):此為 E01 格式的優點。詳實填寫案件編號、證據編號、唯一描述、檢查員等資訊,有助於建立完整的證據監管鏈 (Chain of Custody)。
- 設定影像檔目標:
選擇儲存位置與檔案名稱。
分卷大小 (Image Fragment Size):這是極易被忽略的關鍵設定。FTK Imager 預設會將影像檔以 1500MB 的大小進行分割。若想產生單一完整的影像檔,務必在此處填寫 0。
壓縮 (Compression):E01 格式支援 0-9 的壓縮等級,通常選擇 5 或 6 即可在速度與壓縮率間取得良好平衡。
點擊「開始」進行製作。過程中可看到即時速率與預估剩餘時間。
製作完成後,同樣會產出一份包含 MD5/SHA1 雜湊值的文字報告檔。這份報告詳細記錄了來源裝置的幾何參數、序列號、擷取起訖時間,以及最重要的——來源雜湊值與影像檔驗證雜湊值。兩者必須完全一致,才能證明disk image製作過程的準確無誤。
核心功能二:影像檔掛載與資料恢復
取得影像檔後,下一步便是掛載並進行分析。
1. 影像檔掛載
此功能可以將 .dd 或 .e01 等影像檔模擬成一個虛擬磁碟,掛載到本機系統中,方便存取。這個過程也稱為image mounting。
操作步驟:
- 選擇「檔案(F)」 -> 「映像檔掛載(M)…」。
- 映像檔路徑:選擇要掛載的影像檔 (如 evidence.E01)。
- 掛載模式:
可讀寫 (Writable):允許對掛載的影像檔進行寫入操作(虛擬寫入,不會更動原始影像檔)。主要用於需要模擬系統開機或特定軟體運行的情境。
唯讀 (Read-Only):鑑識分析時的標準選項,確保在檢視過程中不會對影像檔造成任何意外的修改。
點擊「掛載」。成功後,FTK Imager 介面會顯示掛載的磁碟機代號、檔案系統類型等資訊。
注意事項:
- 若掛載的是 Linux (ext4) 或 macOS (APFS) 的系統碟,Windows 檔案總管會因為無法識別其檔案系統而跳出「需要格式化磁碟機」的警告。請務必選擇「取消」,所有檔案應透過 FTK Imager 自身的瀏覽器介面來檢視。
- 偶爾會發生介面顯示掛載失敗,但實際上在「本機」中已出現新的磁碟機代號的情況。應以作業系統的實際狀態為準。
2. 資料恢復與檢視
FTK Imager 內建了非常強大的檔案系統解析與資料恢復功能,效果甚至不輸許多專業的資料恢復軟體。
操作流程:
- 將證據影像檔(或直接選擇實體/邏輯磁碟)載入到 FTK Imager 的「證據樹 (Evidence Tree)」窗格中。
- 軟體會自動解析檔案系統結構。在左側的證據樹中,您可以像在檔案總管一樣瀏覽資料夾結構。
- 已刪除的檔案與資料夾會以一個紅色的 X 符號標示。只要這些檔案佔用的磁碟空間尚未被新的資料覆蓋,就有很高的機率可以成功恢復。
- 在右側檔案清單中,選取一個或多個您想恢復的檔案/資料夾,按一下右鍵,選擇「導出文件…」。
- 選擇一個儲存位置,即可將檔案恢復到您的電腦中。
鑑識與恢復三大黃金法則:
- 永遠以系統管理員身分執行工具。
- 永遠不要對原始證據進行操作。 所有分析、恢復工作都必須在影像檔的「複本」上進行。
- 永遠不要將恢復出來的資料儲存回原始證據所在的磁碟或影像檔中,以免造成二次破壞與資料覆蓋。
常見問題 (FAQ)
Q1: FTK Imager 真的是完全免費的嗎?在哪裡可以下載?
A: 是的,FTK Imager 工具本身是免費提供的。您可以從其開發商 Exterro 的官方網站上找到最新version的下載連結。付費版本是功能更全面的鑑識分析平臺 FTK (Forensic Toolkit)。
Q2: 為什麼擷取記憶體如此重要?不能直接製作硬碟影像嗎?
A: 記憶體中包含了大量「動態」的、即時的資訊,如執行中的程式、網路連線、使用者登入憑證、暫存的加密金鑰等。這些資訊在電腦關機後會完全消失。對於勒索軟體或駭客攻擊等事件,記憶體中的線索往往是定位惡意程式行為模式的唯一途徑。
Q3: Raw (dd) 和 E01 影像檔格式我應該如何選擇?
A: 對於正式的數位鑑識案件,強烈建議使用 E01 格式。它的壓縮功能可以有效節省儲存空間,而能夠嵌入案件元數據的特性,對於建立嚴謹的證據監管鏈至關重要。Raw (dd) 格式是一種原始的disk image格式,則在需要與一些僅支援原始格式的舊工具或特定腳本對接時較為適用。
Q4: 我掛載了一個 Linux 系統的 E01 影像檔,為什麼 Windows 會提示我「需要格式化」?
A: 這是正常現象。因為 Windows 作業系統本身無法原生讀取 Linux 的檔案系統(如 ext4)。在image mounting後,您應該忽略 Windows 的提示,所有檔案的瀏覽與導出都應在 FTK Imager 的證據樹介面中進行,FTK Imager 內建瞭解析多種檔案系統的能力。
Q5: 使用 FTK Imager 進行資料恢復時,最重要的原則是什麼?
A: 最重要的原則是「保全原始證據的完整性」。絕對不要在原始的硬碟或證據images上直接進行任何操作。標準流程是:對原始證據製作一份影像檔 (Image A),然後再複製一份該影像檔 (Image B),所有的分析、掛載、資料恢復等操作都在 Image B 上進行。這樣無論發生任何意外,您手上永遠保有未經更動的原始disk image (Image A)。
總結
FTK Imager 是一款集記憶體擷取、磁碟影像製作、影像掛載、資料檢視與恢復於一身的強大工具。它不僅是專業數位鑑識人員的必備利器,其免費的特性也為 IT 管理員、資安愛好者提供了一個絕佳的學習與實踐平臺。
透過本文的詳細教學,從基礎的中文環境設定,到掌握製作符合鑑識標準的 E01 影像檔,再到利用其內建功能恢復已刪除的關鍵證據,您已經具備了使用 FTK Imager 進行初步數位證據保全與分析的能力。請記住,工具本身只是手段,更重要的是建立嚴謹、標準化的操作流程與思維,才能在每一次的資安事件中,最大化地保全數位證據,找出真相。
