总体而言，取证就是收集并分析证据，并为司法行动中的展示构建事实的一个过程。但在计算机技术中，或在计算机取证技术中，取证就是通过专门的技术来发现证据的过程，这些证据可被用于确认计算机、计算机网络、相关设备、数据存储媒体是否被用于实施犯罪或未授权的活动。

在计算机的取证领域中，取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。

其中一种方法是对原始的证据媒体作一个映象复制，并对映象复制品展开调查，以防止对原始证据的任何更改。实现这种功能的一个例子即FTK Imager。此软件可进行位到位的映象复制，这与原始证据是等同的，它包括了闲置文件、未分配的空间、自由空间等。

使用FTK Imager，用户可以创建原始证据媒体的取证映象，如本地硬盘、闪盘、软盘、Zip驱动器、CD、DVD等都不在话下。

在安装好此软件后，会看到其界面如图：

图1

下面说一下使用此软件创建映象的方法和步骤。

首先，单击“File”/“Create Disk Image”，如下图所示：

图2

下一步，选择要做映象复制的源，并单击“Next”。如果用户要做的是位流(即bit-stream)复制，需要选择“Physical Drive”。如果用户要做的是逻辑复制，则选择“Logical Drive”。如果用户要做一个映象文件的复制，则选择“Image File”。如果用户要复制一个文件夹，则选择“Contents of a Folder”：

图3