我使用 Mandiant Intelligent Response 获取了 Windows 7 计算机的磁盘映像。完成后它给了我一个 .dd 文件。我一直在尝试使用 Encase 来分析文件,但是当我添加证据时,它并没有给我完整的文件目录。是否有我应该添加证据的特定方式,或者 encase 不适用于 .dd 文件?
问问题
1477 次
2 回答
1
我意识到这是一个老问题。我们能解决吗?
正如labgeek在他们的评论中提到的,通过“添加证据”菜单将其添加为原始图像。对我来说,在 EnCase 8 中,拖动 dd 图像会自动弹出“添加原始图像”对话框。
我唯一的附加评论是,在“添加原始图像”对话框中,您可以尝试指定它是一个卷并选择 NTFS(因为您是从 Windows 7 框中获得的)。
于 2017-01-23T19:42:19.030 回答
0
Encase 可以与 dd 文件一起使用,但您可以在列出目录结构之前处理证据。添加 dd 文件作为封装证据后,您必须从封装菜单中对其进行处理。
于 2016-05-10T12:57:11.683 回答