问封装取证.dd
EN

Stack Overflow用户

提问于 2016-04-14 23:18:01

回答 2查看 1.4K关注 0票数 3

我使用Mandiant智能响应来获取Windows7计算机的磁盘映像。完成后，它给了我一个.dd文件。我一直在尝试使用Encase来分析文件，但是当我添加证据时，它并没有给出完整的文件目录。有没有一种我应该添加证据的具体方法，或者封装不适用于.dd文件？

发布于 2017-01-24 03:42:19

我意识到这是一个古老的问题。我们能解决这个问题吗？

正如labgeek在他们的评论中提到的，通过“添加证据”菜单将其添加为原始图像。对我来说，在EnCase 8中，拖动dd图像会自动弹出“添加原始图像”对话框。

我唯一的补充意见是，在"Add Raw Image“对话框中，您可以尝试指定它是一个卷并选择NTFS (因为它是从Windows7中获得的)。

票数 1

发布于 2016-05-10 20:57:12

Encase可以处理dd文件，但您可以在列出目录结构之前处理证据。将dd文件添加为封装证据后，必须从封装菜单处理它。

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/36627371

复制

相似问题

问封装取证.ddEN