Ich benutzte Mandiant Intelligent Response, um ein Disk-Image eines Windows 7-Computers zu erhalten. Nachdem es fertig war, gab es mir eine .dd-Datei. Ich habe versucht, Encase zu verwenden, um die Datei zu analysieren, aber wenn ich die Beweise hinzufüge, gibt es mir das vollständige Dateiverzeichnis nicht. Gibt es da eine bestimmte Art und Weise, auf die ich die Beweise hinzufügen soll, oder funktioniert encases nicht mit .dd-Dateien?Encase forensics .dd
Encase kann mit dd-Dateien arbeiten, aber Sie können die Beweise verarbeiten, bevor Sie die Verzeichnisstruktur auflisten. Nachdem Sie die DD-Datei als Encase-Beweis hinzugefügt haben, müssen Sie sie aus dem Encase-Menü verarbeiten.
Ich weiß, dass dies eine alte Frage ist. Wir können es lösen?
Als labgeek erwähnt in ihrem Kommentar, fügen Sie es als ein rohes Bild über das "Add Evidence" -Menü. In EnCase 8 wurde das Dialogfeld "Rohbild hinzufügen" automatisch durch Ziehen des dd-Bildes geöffnet.
Der einzige zusätzliche Kommentar, den ich habe, ist, dass Sie im "Add Raw Image" -Dialog versuchen können, angeben, dass es ein Volume ist und NTFS (seit Sie aus einer Windows 7-Box) ausgewählt haben.
Zuerst arbeitet EnCase mit .dd-Dateien und mit Version 6 oder 7 fügen Sie es einfach hinzu, indem Sie die "Add Raw image" -Auswahl verwenden, von der ich annehme, dass Sie bereits getan haben. Nein, Sie müssen es nicht zuerst über "Prozessnachweis" verarbeiten, um die Dateistruktur anzuzeigen. Was Ihr Problem angeht, könnte das .dd-Image beschädigt sein, aber das ist wahrscheinlich nicht der Fall. Ich bin mir nicht sicher, was Sie meinen, "es gibt mir nicht das vollständige Dateiverzeichnis". Können Sie nicht die vollständige Verzeichnisstruktur im EnCase-Strukturbereich abrufen? Von welchem Betriebssystem sprechen wir, welchen Dateisystemtyp? Lassen Sie es uns wissen, wenn Sie es können – labgeek