❶ 【求助】從.e01格式文件中恢復數據
encase是取證軟體。
你可以用ultraedit打開這個e01文件看看。
❷ 虛擬機文件夾怎麼做成e01鏡像
你在虛擬機里邊安裝的系統就會在相應文件夾下生成虛擬硬碟!把這個復制了就是備份!希望採納!
❸ 如何用encase製作鏡像文件
1、保護目標計算機系統
計算機取證時,第一件要做的事是凍結計算機系統,不給犯罪分子破壞證據提供機會。在這方面,計算機取證與普通警察封鎖犯罪現場、搜索證物沒有區別。避免發生任何的更改系統設置、硬體損壞、數據破壞或病毒感染的情況。
2、電子證據的確定
現在存儲介質容量越來越大,必須在海量的數據中區分哪些是電子證據,相對計算機取證來說哪些是垃圾數據。因此,根據系統的破壞程度,應確定哪些由犯罪者留下的活動記錄作為主要的電子證據,確定這些記錄存在哪裡、是怎樣存儲的。
3、電子證據的收集
1)調查員要記錄系統的硬體配置,把各硬體之間的連接情況記錄在案,以便計算機系統移到安全的地方保存和分析的時候能重新恢復到初始的狀態。
2)用磁碟鏡像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)對目標系統磁碟驅動中的所有數據進行字元流的鏡像備份。鏡像備份後就可對計算機證據進行處理,萬一對收集來的電子證據產生疑問時,可用鏡像備份的數據恢復到系統的原始狀態,作為分析數據的原始參考數據,使得分析的結果具有可信性。
3)用取證工具(如EnCase,詳見取證工具的Encase例子)收集相關的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據通過加密手段發送給取證伺服器進行分析。對UNIX系統可能還需要一些命令做輔助,收集有關信息,對操作情況要做記錄歸檔。對關鍵的證據數據用光碟備份,有條件的可以直接將電子證據列印成文件證據。
根據我們目前的研究,在缺乏自主知識產權的計算機取證工具的前提下,收集電子證據上傳到取證伺服器統一保護和分析,採用基於代理(Agent)的C/S結構(見圖一)。client端即目標系統端程序採用主動搜索和被動接受兩種相結合的方式將電子證據上傳給取證伺服器。定義已知常見的電子證據來源如系統名稱、時期時間、系統日誌、應用軟體日誌、郵件數據、臨時文件信息、Email數據等,利用程序的自動搜索功能,將可疑為電子證據的文件或數據羅列出來,由調查員確認發送給取證伺服器。對數據量特別大的電子證據文件如網路防火牆和NIDS的日誌,可由調查員先對其光碟備份進行原始數據保全,然後將可疑為入侵者IP的相關信息挖掘出來發送給取證伺服器。由受害方提供的其它相關信息也可通過client端程序上傳。
Server端的取證伺服器採用LDAP目錄形式組織上傳的電子證據,由控制台對電子證據進行管理。各類電子證據上傳時,將相關的文件證據存入取證伺服器特定目錄並將存放目錄、文件類型(是系統日誌,應用日誌,還是郵件文件或是其它臨時文件等)、來源(IP)等信息存入取證伺服器的資料庫中。
控制台主要用於電子證據加密上傳的密鑰分配,電子證據的審計與分析、產生報告並列印,結案後管理員對電子證據的處理等。
4、電子證據的保護
由於電子證據可能被不留痕跡的修改或破壞,應用適當的儲存介質(如Mess storage或CD-ROM)進行原始的鏡像備份。考慮到在計算機取證中有些案例可能要花上兩三年時間來解決,取證調查時可將鏡像備份的介質打上封條放在安全的地方。對獲取的電子證據採用安全措施進行保護,非相關人員不準操作存放電子證據的計算機。不輕易刪除或修改與證據無關的文件以免引起有價值的證據文件的永久丟失
5、電子證據的分析
由於原始的電子證據是存放在磁碟等介質里,具有不可見性,需要藉助計算機的輔助程序來查看。同時,沒有相當IT知識的人也很難理解電子證據的信息。因此,對電子證據的分析並得出結果報告是電子證據能否在法庭上展示,作為起訴計算機犯罪者的犯罪證據的重要過程。分析需要很深的專業知識,應由專業的取證專家來分析電子證據。
1)做一系列的關鍵字搜索獲取最重要的信息。因為目前的硬碟容量非常大,取證專家不可能手動查看和評估每一個文件。因此需要一些自動取證的文本搜索工具來幫助發現相關的信息。
2)對文件屬性、文件的數字摘要和日誌進行分析,根據已經獲得的文件或數據的用詞、語法和寫作(編程)風格,推斷出其可能的作者。如果政策允許可利用數據解密技術和密碼破譯技術,對電子介質中的被保護信息進行強行訪問以獲取重要信息。
3)評估windows交換文件,file slack,未分配的空間。因為這些地方往往存放著犯罪者容易忽視的證據。在這方面,專業的取證公司NTI的IPFilter和Guidance Software公司的EnCase都可以幫助取證專家獲取重要的信息。用恢復工具如EasyRecovery恢復被刪除的文件,尤其是被犯罪者刪除的日誌文件,以發現其蹤跡。
4)對電子證據做一些智能相關性的分析,即發掘同一事件的不同證據間的聯系。隨著計算機分步式技術的發展,犯罪者往往在同一時間段內對目標系統做分步式的攻擊以分散管理員的注意力。在分析電子證據時,應對其進行關聯分析。如在某一時間段內,來自攻擊者的IP在不同系統中留下的痕跡按一定的順序將其羅列出來,並評估它們的相關性。
5)取證專家完成電子證據的分析後應給出專家證明,這與偵查普通犯罪時法醫的角色沒有區別。
6、歸檔
在計算機取證的最後階段,應整理取證分析的結果供法庭做為訴公證據。主要對涉及計算機犯罪的日期和時間、硬碟的分區情況、操作系統和版本、運行取證工具時數據和操作系統的完整性、計算機病毒評估情況、文件種類、軟體許可證以及取證專家對電子證據的分析結果和評估報告等進行歸檔處理。尤其值得注意的是,在處理電子證據的過程中,為保證證據的可信度,必須對各個步驟的情況進行歸檔以使證據經的起法庭的質詢。
❹ DD鏡像和 .e01 格式證據文件
所謂「證據文件」,當然用調查取證類的軟體來查看才好。這類軟體例如 EnCase、Forensic ToolKit、X-ways Forensics 等。不知你是不是用的這幾個工具?
❺ e01文件怎麼解壓
試著解壓e01,如果不行,將所有分卷的擴展名改為.7z01,.7z02,.7z03……解壓.7z01