0

现在,我正在使用 encase 7 分析一些设备。在此工作期间,我将 [condition] 设置为 [is Deleted -> True]。运行结束后,一些文件显示在封装窗口上,每个项目路径设置为 {Case Name}{Evidence}{Volume Label}\Recovered Folders{file names}。

显然,我知道这项工作不同于“装箱处理”。

每个结果的信息都没有确切的文件路径,那么 RECOVERED FOLDERS 的确切含义是什么?

4

1 回答 1

1

在 EnCase 中,“已恢复的文件夹”是一个虚拟文件夹,用于保存对在处理源文件时定位的已删除文件/文件夹的引用。此虚拟文件夹通常位于卷的根目录,这就是您所看到的。

换句话说,您在其中看到的是 EnCase 在处理过程中发现的已删除文件/文件夹。

于 2018-03-30T02:34:32.237 回答