總體而言，取證就是收集并分析證據(jù)，并為司法行動中的展示構(gòu)建事實(shí)的一個過程。但在計(jì)算機(jī)技術(shù)中，或在計(jì)算機(jī)取證技術(shù)中，取證就是通過專門的技術(shù)來發(fā)現(xiàn)證據(jù)的過程，這些證據(jù)可被用于確認(rèn)計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)、相關(guān)設(shè)備、數(shù)據(jù)存儲媒體是否被用于實(shí)施犯罪或未授權(quán)的活動。

在計(jì)算機(jī)的取證領(lǐng)域中，取證人員在取證調(diào)查的整個過程中證明證據(jù)媒體沒有在任何方面被篡改是至關(guān)重要的。

其中一種方法是對原始的證據(jù)媒體作一個映象復(fù)制，并對映象復(fù)制品展開調(diào)查，以防止對原始證據(jù)的任何更改。實(shí)現(xiàn)這種功能的一個例子即FTK Imager。此軟件可進(jìn)行位到位的映象復(fù)制，這與原始證據(jù)是等同的，它包括了閑置文件、未分配的空間、自由空間等。

使用FTK Imager，用戶可以創(chuàng)建原始證據(jù)媒體的取證映象，如本地硬盤、閃盤、軟盤、Zip驅(qū)動器、CD、DVD等都不在話下。

在安裝好此軟件后，會看到其界面如圖：

圖1

下面說一下使用此軟件創(chuàng)建映象的方法和步驟。

首先，單擊“File”/“Create Disk Image”，如下圖所示：

圖2

下一步，選擇要做映象復(fù)制的源，并單擊“Next”。如果用戶要做的是位流(即bit-stream)復(fù)制，需要選擇“Physical Drive”。如果用戶要做的是邏輯復(fù)制，則選擇“Logical Drive”。如果用戶要做一個映象文件的復(fù)制，則選擇“Image File”。如果用戶要復(fù)制一個文件夾，則選擇“Contents of a Folder”：

圖3