我使用Mandiant Intelligent Response获取了Windows 7计算机的磁盘映像。完成后它给了我一个.dd文件。我一直在尝试使用Encase来分析文件但是当我添加证据时它并没有给我完整的文件目录。是否有一种特定的方式我应该添加证据,或者是否包含不适用于.dd文件?
答案 0 :(得分:0)
Encase可以使用dd文件,但您可以在列出目录结构之前处理证据。将dd文件作为包装证据添加后,您必须从包装菜单中处理它。
答案 1 :(得分:0)
我意识到这是一个老问题。我们能解决吗?
在评论中提到的labgeek,通过"添加证据"将其添加为原始图片。菜单。对我来说,在EnCase 8中,拖动dd图像会带来"添加原始图像"自动对话框。
我唯一的另一个评论是,在"添加原始图像"对话框,您可以尝试指定它是一个卷并选择NTFS(因为您从Windows 7框中获取它)。