Blue Team Field NotesDFIR · SOC · Vulnerability Management
FTK Imager

Acquisition disque

Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.

Préparation

Avant l'acquisition :

Formats courants

Format Caractéristique
Raw/dd simple, universel, taille proche du support
E01 métadonnées, segmentation, compression et checksums
AD1 conteneur logique de fichiers sélectionnés

Workflow FTK Imager

  1. File → Create Disk Image ;
  2. choisir Physical Drive, Logical Drive ou Image File ;
  3. sélectionner la source avec prudence ;
  4. renseigner les métadonnées du cas ;
  5. choisir le format et la segmentation ;
  6. activer la vérification ;
  7. lancer et surveiller les erreurs ;
  8. conserver le rapport d'acquisition.

Vérifications

Le hash calculé pendant l'acquisition doit correspondre au hash de vérification. Note les secteurs illisibles et toute anomalie.

Attention

Une erreur de sélection de source ou destination peut écraser une preuve. Vérifie deux fois le numéro de disque et utilise un poste d'acquisition dédié.

Références officielles