我使用 Mandiant Intelligent Response 获取了 Windows 7 计算机的磁盘镜像。完成后,它给了我一个 .dd 文件。我一直在尝试使用 Encase 来分析文件,但是当我添加证据时,它并没有给我完整的文件目录。是否有我应该添加证据的特定方式,或者 encase 不适用于 .dd 文件?
最佳答案
我意识到这是一个老问题。我们能解决吗?
作为labgeek在他们的评论中提到,通过“添加证据”菜单将其添加为原始图像。对我来说,在 EnCase 8 中,拖入 dd 图像会自动弹出“添加原始图像”对话框。
我唯一的补充意见是,在“添加原始图像”对话框中,您可以尝试指定它是一个卷并选择 NTFS(因为您是从 Windows 7 盒子中获得它的)。
关于computer-forensics - 封装取证.dd,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36627371/