Blue Team Field NotesDFIR · SOC · Vulnerability Management
FTK Imager

Prévisualisation, export et vérification

Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.

Ajouter une image existante

File → Add Evidence Item permet d'ouvrir une image et de parcourir les partitions. Travaille sur la copie de travail.

Modes de visualisation

Export de fichiers

Lorsqu'un fichier est exporté :

  1. note son chemin complet dans l'image ;
  2. exporte dans 03_exports/ ;
  3. calcule SHA-256 ;
  4. enregistre la raison de l'export ;
  5. analyse dans une zone adaptée.

Montage

Le montage en lecture seule facilite l'analyse avec d'autres outils. Vérifie que le mode choisi ne permet pas l'écriture.

Rapport d'acquisition

Conserve :

Conseil opérationnel

Compare les hashes après chaque transfert important, pas seulement à la fin de la mission.

Références officielles