====== MAGNET Process Capture======
[[digital_forensics:digital_forensics|{{ :digital_forensics:icon.jpg?120|}}]]
===== context=====
dit document beschrijft installatie en werking van MAGNET Process Capture
===== installatie=====
- [[https://www.magnetforensics.com/resources/magnet-process-capture/|download]] de installer (beetje vervelend dat je moet registreren om de link te krijgen, maar goed)
- controleer de installer even op [[digital_forensics:vt|VirusTotal]]
- next, next, next en gedaan.
===== werking =====
==== algemeen ====
in hoofdzaak kan je met FTK:
* een identieke kopie (**image**) maken van disk/partitie/mappen
* een **memory** dump doen.
* een dump van **protected files** (registry, SAM account, ...) doen
* de **image mounten** en van daaruit bestanden onderzoeken.
==== disk image maken ====
Controleer dat je write-blocker is aangesloten zodat je geen data naar de schijf schrijft die je wilt imagen.\\ Je kan ook USB-apparaten [[digital_forensics:write-protect_usb_storage|write-protect]] zetten
- **File** > **Create Disk Image**
- **Source**:
- Physical Drive: volledige schijf
- Logical Drive: partitie met drive letter (C, D, ...)\\ Geen gemonteerde gedeelde mappen!
- Image file: bestaande image file
- Contents of a Folder: geselecteerde map.
- **Image destination**: plaats waar je image wilt bewaren.
- **Image type**: raw, AFF
- **Evidence item information**: administratieve data mbt de case
- **Image file name**: bestandsnaam.
- zet volgende **opties** aan:
- verify images,
- create listing,
- calculate progress,
- **START**{{ :digital_forensics:ftk_imager.png?400 |{{ :digital_forensics:ftk_imager.png?600 |}}
- na afloop heb je een aantal aff-bestanden, een bestandslijst en een rapportje.
==== disk image bekijken====
* **Add Evidence Item**
* **Source Evidence Type**: cfr hierboven. Meestal: **Image File**
* blader naar het image bestand
* nu kan je doorheen het bestand **bladeren** en de **eigenschappen** van bestanden bekijken.
===== problemen, problemen =====
==== logboeken ====
* in locatie waar je image bewaart: .txt
===== werking=====
schakel slaapstand uit anders zal je image onderbroken worden
===== meer info =====
voeg hier linken toe naar verdere uitleg
{{tag>autopsy}}