![[FTK Imager.png]] FTK Imagem é uma ferramenta [[Introdução|Forense]] desenvolvida pela AccessData, utilizada para aquisição, análise e exportação de evidências digitais de forma rápida e confiável. ## Principais Funcionalidades - Criação de imagens forenses (RAW, E01, AFF) - Geração de sumários criptográficos (MD5, SHA1, SHA256) - Visualização e extração de arquivos sem alterar o original - Suporte a dispositivos de armazenamento (HDs, pendrives, cartões de memória) - Montagem de imagens como unidade virtual (read-only) - Exportação de relatórios em HTML, TXT ou CSV ## Fluxo de Uso 1. Iniciar o FTK Imager e selecionar **File → Create Disk Image** 2. Escolher a fonte (physical drive, logical drive, imagem de arquivo) 3. Definir o tipo de imagem (Raw (dd), Expert Witness (E01), AFF) 4. Configurar opções de hash e compactação (se aplicável) 5. Confirmar e aguardar a conclusão da aquisição 6. Analisar arquivos e diretórios na interface ou montar a imagem ## Formatos de Imagem Suportados | Formato | Extensão | Descrição | | -------------- | -------- | ----------------------------------- | | RAW (dd) | .img | Cópia bit-a-bit sem compressão | | Expert Witness | .E01 | Com compressão, metadata e logs | | AFF | .aff | Formato aberto, compressão opcional | ## Vantagens - Interface simples e objetiva - Processo “read-only” garante integridade dos dados - Geração automática de hashes para verificação de integridade - Compatível com outros produtos forenses da AccessData ## Conclusão - Para aquisição de discos criptografados, é necessário obter credenciais ou chaves antes do processo - Trabalha melhor em conjunto com write-blockers físicos - Versão gratuita possui limitações em relatórios e formatos avançados