Image Acquisition & Mount
Acquisition
DD
dcfldd
FTK Imager
Możesz pobrać FTK imager stąd.
EWF
Możesz wygenerować obraz dysku za pomocą ewf tools.
Mount
Several types
W Windows możesz spróbować użyć darmowej wersji Arsenal Image Mounter (https://arsenalrecon.com/downloads/) do zamontowania obrazu forensycznego.
Raw
EWF
ArsenalImageMounter
To aplikacja Windows do montowania woluminów. Możesz ją pobrać tutaj https://arsenalrecon.com/downloads/
Errors
cannot mount /dev/loop0 read-only
w tym przypadku musisz użyć flag-o ro,norecovery
wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.
w tym przypadku montowanie nie powiodło się, ponieważ offset systemu plików jest inny niż ten w obrazie dysku. Musisz znaleźć rozmiar sektora i sektor początkowy:
Zauważ, że rozmiar sektora wynosi 512, a początek to 2048. Następnie zamontuj obraz w ten sposób:
Last updated