Thiago Teixeira
EN | PT

FTK Imager

Exterro / AccessData

Ferramenta gratuita de imagem de disco — adquire cópias forenses bit a bit de drives.

Forense Digital e Resposta a Incidentes Comercial GUI Em Estudo Windows
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O FTK Imager é a ferramenta gratuita de imagem da Exterro (antiga AccessData). É padrão de aquisição forense de discos, partições, memória e arquivos individuais em ambientes Windows.

O que faz:

  • Cria imagens bit a bit em raw (dd), E01 (EnCase), AFF, S01.
  • Calcula MD5 + SHA-1 da fonte e da imagem para cadeia de custódia.
  • Captura RAM ao vivo em .mem.
  • Monta imagens read-only.
  • Exporta $MFT protegido, hives de registry e Volume Shadow Copies.

Casos de uso

  • Aquisição imediata antes de desligar host suspeito
  • Captura volátil de RAM em cenário kidnap-and-go
  • Produção de imagens E01 admissíveis em juízo