问题标签 [encase]

将文本文件转换为文档字符串（与文字字符串相同）以使正则表达式工作是否是个好主意？我已经尝试将它转换为字符串，str()并在 re.xml 中使用多行模式。

我创建了一个基本脚本来通过 Python 解析出EnCase导出文件。它可以工作，但由于某种原因，我无法获得正则表达式代码来执行 findall 函数来搜索文件，除非我将文件的内容作为文档字符串存储在变量中。

这段代码似乎可以重复用于不同的文件，但是复制和粘贴每个文件内容变得很麻烦。还有其他建议吗？

EnCase 文件导出本质上是制表符分隔的，以下包含有关文件格式的信息。

另请参阅：从 EnCase 导出文件和文件夹

我使用 Mandiant Intelligent Response 获取了 Windows 7 计算机的磁盘映像。完成后它给了我一个 .dd 文件。我一直在尝试使用 Encase 来分析文件，但是当我添加证据时，它并没有给我完整的文件目录。是否有我应该添加证据的特定方式，或者 encase 不适用于 .dd 文件？

现在，我正在使用 encase 7 分析一些设备。在此工作期间，我将 [condition] 设置为 [is Deleted -> True]。运行结束后，一些文件显示在封装窗口上，每个项目路径设置为 {Case Name}{Evidence}{Volume Label}\Recovered Folders{file names}。

显然，我知道这项工作不同于“装箱处理”。

每个结果的信息都没有确切的文件路径，那么 RECOVERED FOLDERS 的确切含义是什么？