FTK
FTK 是什么?
FTKForensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
FTK(Forensic Toolkit)是一款长期建立起来的商用数字取证平台,最早由 AccessData 于 2000 年代初发布。2020 年 Exterro 收购 AccessData 后,该产品以 Exterro FTK 名义销售,广泛应用于执法机构、政府和企业取证人员。该套件包括 FTK(分析)、FTK Imager(免费证据采集工具,可生成经过校验的 E01/AFF4/原始镜像并支持实时预览),以及面向远程和大规模调查的 FTK Lab/Enterprise。核心能力包括:对 TB 级数据进行分布式索引以实现快速关键字检索、去重、注册表与邮件分析、移动设备支持以及可导出报告。FTK 与 EnCase 通常被视为两款旗舰级商用 DFIR 工具。
● 示例
- 01
使用 FTK Imager 对嫌疑硬盘进行取证镜像采集,并使用 MD5 和 SHA-1 校验。
- 02
在内部调查中通过 FTK 分布式索引对当事人邮箱进行关键字检索。
● 常见问题
FTK 是什么?
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。 它属于网络安全的 取证与应急响应 分类。
FTK 是什么意思?
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
FTK 是如何工作的?
FTK(Forensic Toolkit)是一款长期建立起来的商用数字取证平台,最早由 AccessData 于 2000 年代初发布。2020 年 Exterro 收购 AccessData 后,该产品以 Exterro FTK 名义销售,广泛应用于执法机构、政府和企业取证人员。该套件包括 FTK(分析)、FTK Imager(免费证据采集工具,可生成经过校验的 E01/AFF4/原始镜像并支持实时预览),以及面向远程和大规模调查的 FTK Lab/Enterprise。核心能力包括:对 TB 级数据进行分布式索引以实现快速关键字检索、去重、注册表与邮件分析、移动设备支持以及可导出报告。FTK 与 EnCase 通常被视为两款旗舰级商用 DFIR 工具。
如何防御 FTK?
针对 FTK 的防御通常结合技术控制与运营实践,详见上方完整定义。
FTK 还有哪些其他名称?
常见的别称包括: Forensic Toolkit, Exterro FTK, AccessData FTK。
● 相关术语
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 378
EnCase
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
- forensics-ir№ 078
Autopsy
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
- forensics-ir№ 1142
The Sleuth Kit
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
- forensics-ir№ 425
取证哈希验证
对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。
● 参见
- № 428取证工具包