總體而言，取證就是收集并分析證據，并為司法行動中的展示構建事實的一個過程。但在計算機技術中，或在計算機取證技術中，取證就是通過專門的技術來發現證據的過程，這些證據可被用于確認計算機、計算機網絡、相關設備、數據存儲媒體是否被用于實施犯罪或未授權的活動。

在計算機的取證領域中，取證人員在取證調查的整個過程中證明證據媒體沒有在任何方面被篡改是至關重要的。

其中一種方法是對原始的證據媒體作一個映象復制，并對映象復制品展開調查，以防止對原始證據的任何更改。實現這種功能的一個例子即FTK Imager。此軟件可進行位到位的映象復制，這與原始證據是等同的，它包括了閑置文件、未分配的空間、自由空間等。

使用FTK Imager，用戶可以創建原始證據媒體的取證映象，如本地硬盤、閃盤、軟盤、Zip驅動器、CD、DVD等都不在話下。

在安裝好此軟件后，會看到其界面如圖：

圖1

下面說一下使用此軟件創建映象的方法和步驟。

首先，單擊“File”/“Create Disk Image”，如下圖所示：

圖2

下一步，選擇要做映象復制的源，并單擊“Next”。如果用戶要做的是位流(即bit-stream)復制，需要選擇“Physical Drive”。如果用戶要做的是邏輯復制，則選擇“Logical Drive”。如果用戶要做一個映象文件的復制，則選擇“Image File”。如果用戶要復制一個文件夾，則選擇“Contents of a Folder”：

圖3