Encase судебно-медицинской экспертизы.dd

Question

Encase судебно-медицинской экспертизы.dd

Я использовал Mandiant Intelligent Response для получения образа диска компьютера с Windows 7. После того, как он закончил, он дал мне файл.dd. Я пытался использовать Encase для анализа файла, но когда я добавляю доказательства, он не дает мне полный каталог файлов. Есть ли определенный способ, которым я должен добавить доказательства, или же он не работает с файлами.dd?

3

computer-forensics encase

Источник

user6204770 14 апр '16 в 15:18

2 ответа

Другие вопросы по тегам computer-forensics encase

user3805 23 янв '17 в 19:42 2017-01-23 19:42 · Answer 1 · 2017-01-23 19:42

Я понимаю, что это старый вопрос. Мы в состоянии решить это?

Как labgeek упомянул в своем комментарии, добавьте его в виде необработанного изображения через меню "Добавить доказательства". Для меня в EnCase 8 при перетаскивании изображения dd автоматически открывается диалоговое окно "Добавить необработанное изображение".

Единственный дополнительный комментарий, который у меня есть, заключается в том, что в диалоговом окне "Добавить необработанное изображение" вы можете попытаться указать, что это том, и выбрать NTFS (поскольку вы получили его из коробки Windows 7).

user3086372 10 май '16 в 12:57 2016-05-10 12:57 · Answer 2 · 2016-05-10 12:57

Encase может работать с файлами dd, но вы можете обработать доказательства, прежде чем перечислить структуру каталогов. После добавления файла dd в качестве доказательства оболочки вы должны обработать его из меню оболочки.

0

Источник

user3086372 10 май '16 в 12:57