Imager avec FTK Imager

J’aurais abordé le sujet dans un billet précédent “Imager un DD“, ici on va mettre les mains dans le cambouis, pour se lancer dans les bases indispensables.
Je rappelle, ce site a pour but premier d’accompagner les nouveaux arrivants dans la scène de l’investigation numérique, avant d’aller tout de suite trop loin !

Pour commencer donc, vous allez pouvoir récupérer le logiciel ici :

https://accessdata.com/product-download/ftk-imager-version-4-7-1

Au moment de la rédaction de ce billet, c’est la version 4.7.1

L’installation, je ne m’attarde pas dessus. Ca devrait bien se passer 😉

Une fois lancé, on va seulement s’attacher à la partie “image”. Le procédé restera le même, à une ou deux options près, si vous souhaitez créér une copie de fichiers/partition d’un système en fonctionnement.

Ici, ce qui va nous intéresser, ce sont ces parties ici :

ou encore via le menu, ici :

Je ne m’attarde volontairement pas sur le reste du logiciel, puisqu’on y reviendra souvent, car vu que c’est un logiciel gratuit, il reste un indispensable pour beaucoup d’opérations d’inforensique, et permettra justement aux débutants de se faire la main (voire même de travailler de façon efficace!) sans avoir recours tout de suite à un logiciel professionnel.

---

Dans mon exemple, je procède à la copie d’une clé USB. On y reviendra également dans d’autres billets, vous allez utiliser ici un bloqueur en écriture pour l’acquisition des données de votre support.

Vous ne voudriez pas le modifier de quelconque manière, n’est-ce pas? :p

Les choix proposés vont dépendre de ce dont vous aurez besoin (et de ce qui sera techniquement possible également).

Le “Physical Drive” correspondra comme son nom l’indique à un support dans son entiereté.

Un “Logical Drive” sera un espace créé sur un “Physical drive” : cela pourra donc correspondre à une partition. On reviendra plus tard sur quand il sera judicieux (ou quand il sera impossible de faire autrement) d’utiliser ce type de copie.

Les autres options parlent d’elles-mêmes me semble-t-il!

Petit aparté : la principale différence entre Physique et Logique ici, est qu’une copie “Physique” sera donc une copie de l’entiereté du support, permettant l’accès aux données pouvant se trouver dans des espaces non-partitionnés, ou encore à des données effacées.
Ce ne sera pas le cas avec une copie “Logique”

---

Vous allez ensuite déterminer le support que vous allez vouloir copier. Ici, une clé USB Verbatim :

Validez, et vous arriverez ici :

Avant de choisir la destination de votre copie (Image), deux options en bas à gauche vous seront utiles :

• Verify images –> cela va directement après la copie calculer le hash de cette dernière et le comparer avec celui du support, afin de contrôler que la copie a été correctement effectuée
• Create directory listings –> va créér un listing (format .TSV) des fichiers extraits et copiés

Vous allez ensuite pouvoir choisir la destination de votre image (Add) :

Ici encore, plusieurs choix :

• Raw (dd) : permet comme la commande “dd” sous Linux, d’effectuer une copie bit à bit du support. Copiez un support de 500Go, votre copie fera 500Go à l’arrivée.
• SMART : format d’image (personnellement jamais utilisé) apparemment utilisé par Linux dans le passé (si vous en savez plus, je vous écoute!)
• E01 : format d’image qui sera compressée. Format le plus utilisé car reconnu par la plupart des outils d’inforensique. C’est personnellement celui que j’utilise 95% du temps.
• AFF : Advanced Forensic Format : format d’image open source, qui permet parfois d’être reconnu par certains outils pour lire certaines images, là où un simple E01 ne fera pas l’affaire (je n’explique pas pourquoi, j’ai eu quelques images Mac qui n’étaient pas lisibles par mes outils pro autrement qu’en AFF ^^ Les joies de l’investigation numérique :p )

Je vais donc ici choisir E01 :

On y arrive! Quelques infos sur votre support pour pouvoir vous y retrouver si vous en avez plusieurs dans votre dossier, et c’est parti!

Choisissez l’emplacement pour votre image, ajoutez-y un nom (attention, sans extension), puis il vous restera seulement les deux options qui vous permettront de déterminer si vous voulez découper votre image en plusieurs parties (auquel cas vous fixez la taille en MB de chacune d’entre elles – mettre ZERO comme moi ici si vous ne voulez qu’un seul fichier), et enfin de déterminer le taux de compression de votre image = 0 équivalant à aucune compression, et 9 = la compression la plus importante, et donc la plus lente.

Plus qu’à lancer en cliquant sur START !

Vous obtenez enfin un récapitulatif de vos opérations, avec si tout s’est bien déroulé, une correspondance des hashs :

Voilà le résultat pour mon test :

Le fichier .txt reprend les éléments indispensables à une bonne traçabilité de toutes vos opérations : les horodatages pour votre copie, les hashs calculés, l’emplacement de l’image etc…

CONCLUSION

Premier réel tuto d’utilisation d’une fonction d’un logiciel, j’ai essayé de faire simple, mais en étant sûr de pouvoir parler à quelqu’un qui débuterait réellement.
Pour les anciens, ça ne vous sera absolument pas utile 🙂 Mais si vous avez des astuces à partager, n’hésitez pas laisser un commentaire pour nous enrichir tous!

D’autres imageurs existent, et j’en ferai des tutos également. Chaque chose en son temps, car il va bientôt falloir commencer à faire quelque chose de ces images n’est-ce pas? 🙂

FY

---