❶ 【求助】从.e01格式文件中恢复数据
encase是取证软件。
你可以用ultraedit打开这个e01文件看看。
❷ 虚拟机文件夹怎么做成e01镜像
你在虚拟机里边安装的系统就会在相应文件夹下生成虚拟硬盘!把这个复制了就是备份!希望采纳!
❸ 如何用encase制作镜像文件
1、保护目标计算机系统
计算机取证时,第一件要做的事是冻结计算机系统,不给犯罪分子破坏证据提供机会。在这方面,计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。
2、电子证据的确定
现在存储介质容量越来越大,必须在海量的数据中区分哪些是电子证据,相对计算机取证来说哪些是垃圾数据。因此,根据系统的破坏程度,应确定哪些由犯罪者留下的活动记录作为主要的电子证据,确定这些记录存在哪里、是怎样存储的。
3、电子证据的收集
1)调查员要记录系统的硬件配置,把各硬件之间的连接情况记录在案,以便计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。
2)用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。
3)用取证工具(如EnCase,详见取证工具的Encase例子)收集相关的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对UNIX系统可能还需要一些命令做辅助,收集有关信息,对操作情况要做记录归档。对关键的证据数据用光盘备份,有条件的可以直接将电子证据打印成文件证据。
根据我们目前的研究,在缺乏自主知识产权的计算机取证工具的前提下,收集电子证据上传到取证服务器统一保护和分析,采用基于代理(Agent)的C/S结构(见图一)。client端即目标系统端程序采用主动搜索和被动接受两种相结合的方式将电子证据上传给取证服务器。定义已知常见的电子证据来源如系统名称、时期时间、系统日志、应用软件日志、邮件数据、临时文件信息、Email数据等,利用程序的自动搜索功能,将可疑为电子证据的文件或数据罗列出来,由调查员确认发送给取证服务器。对数据量特别大的电子证据文件如网络防火墙和NIDS的日志,可由调查员先对其光盘备份进行原始数据保全,然后将可疑为入侵者IP的相关信息挖掘出来发送给取证服务器。由受害方提供的其它相关信息也可通过client端程序上传。
Server端的取证服务器采用LDAP目录形式组织上传的电子证据,由控制台对电子证据进行管理。各类电子证据上传时,将相关的文件证据存入取证服务器特定目录并将存放目录、文件类型(是系统日志,应用日志,还是邮件文件或是其它临时文件等)、来源(IP)等信息存入取证服务器的数据库中。
控制台主要用于电子证据加密上传的密钥分配,电子证据的审计与分析、产生报告并打印,结案后管理员对电子证据的处理等。
4、电子证据的保护
由于电子证据可能被不留痕迹的修改或破坏,应用适当的储存介质(如Mess storage或CD-ROM)进行原始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决,取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的电子证据采用安全措施进行保护,非相关人员不准操作存放电子证据的计算机。不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失
5、电子证据的分析
由于原始的电子证据是存放在磁盘等介质里,具有不可见性,需要借助计算机的辅助程序来查看。同时,没有相当IT知识的人也很难理解电子证据的信息。因此,对电子证据的分析并得出结果报告是电子证据能否在法庭上展示,作为起诉计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识,应由专业的取证专家来分析电子证据。
1)做一系列的关键字搜索获取最重要的信息。因为目前的硬盘容量非常大,取证专家不可能手动查看和评估每一个文件。因此需要一些自动取证的文本搜索工具来帮助发现相关的信息。
2)对文件属性、文件的数字摘要和日志进行分析,根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者。如果政策允许可利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问以获取重要信息。
3)评估windows交换文件,file slack,未分配的空间。因为这些地方往往存放着犯罪者容易忽视的证据。在这方面,专业的取证公司NTI的IPFilter和Guidance Software公司的EnCase都可以帮助取证专家获取重要的信息。用恢复工具如EasyRecovery恢复被删除的文件,尤其是被犯罪者删除的日志文件,以发现其踪迹。
4)对电子证据做一些智能相关性的分析,即发掘同一事件的不同证据间的联系。随着计算机分步式技术的发展,犯罪者往往在同一时间段内对目标系统做分步式的攻击以分散管理员的注意力。在分析电子证据时,应对其进行关联分析。如在某一时间段内,来自攻击者的IP在不同系统中留下的痕迹按一定的顺序将其罗列出来,并评估它们的相关性。
5)取证专家完成电子证据的分析后应给出专家证明,这与侦查普通犯罪时法医的角色没有区别。
6、归档
在计算机取证的最后阶段,应整理取证分析的结果供法庭做为诉公证据。主要对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是,在处理电子证据的过程中,为保证证据的可信度,必须对各个步骤的情况进行归档以使证据经的起法庭的质询。
❹ DD镜像和 .e01 格式证据文件
所谓“证据文件”,当然用调查取证类的软体来查看才好。这类软体例如 EnCase、Forensic ToolKit、X-ways Forensics 等。不知你是不是用的这几个工具?
❺ e01文件怎么解压
试着解压e01,如果不行,将所有分卷的扩展名改为.7z01,.7z02,.7z03……解压.7z01