|
一旦外部磁盘被验证和读取,点击“Copy
Image”按钮,“Copy Image”窗口会打开并允许你开始设定镜像参数。
复制镜像窗口
选择原始磁盘和目标磁盘。在“Suspect
Drives”下选择你想要的磁盘和分区并在调查者的磁盘下选择你想要复制到的位置。
选择整个疑犯磁盘,挑选来源于子目录的项目,在这里显示为
/dev/sda。如果你仅想要复制一个分区,在列表里选择分区。
一旦磁盘被选择,你将在“Source”和“Destination”分别看到被选项目的文字区域。在完成所需的选择后,点击“Next”继续。
你将被询问以确认你想要写入选定的磁盘。
必须确保你连接的目标磁盘是外部USB磁盘而不是一个可能包含证据的疑犯磁盘。
一旦你确认你想要写入镜像到选择的USB磁盘,在文字区域键入“YES”并点击“Next”继续。
你将在呈现出的选项窗口中为镜像设置基础选项。
Evidence File Name –
输入你想使用镜像的文件名。
File Segment
Size (MB) –
最后的镜像将会是一连串的小文件。选择镜像每个部分的大小(MB)。
File
Compression – 设置使用镜像的压缩等级。选项有:
none –
镜像不被压缩。在目标磁盘上所需空间最多,但是获得镜像最快。
empty_block –
省略所有未分配空间包含的相同信息,但是不能压缩数据。
fast
–
省略所有未分配空间包含的相同信息并压缩数据。不能压缩的数据和“best”差不多,但是完成镜像较快。
best –
省略所有未分配空间包含的相同信息并使用最高压缩等级压缩数据。在目标磁盘上节省磁盘空间最多,但是需要最多的时间完成镜像。
Notes
– 允许你增加包括关于镜像的任何记录(可选)。
Examiner name
–
输入调查人姓名(可选)。
一旦你设定了必须的选项,点击“Next”继续。
你将在呈现出的高级选项窗口中为镜像配置更多的细节。
Evidence number –
为镜像选择或输入编号。
Case number –
为镜像输入案件编号。
Start sector –
选择硬盘扇区开始镜像。
Stop sector –
选择硬盘扇区结束镜像。
Block size (Sectors) –
选择每块扇区的数字。如果你选择了一部分硬盘使用开始和停止扇区的选项,你可能需要匹配原始硬盘的字区大小。这里的缺省设置为64。
EWF
file format – 为软件选择镜像所需的文件格式将有利于调查镜像。支持FTK、Encase
2到6、EwfX(Encase)、Linen5 和 Linen6。
Media
type – 选择原始磁盘是固定的还是移动的磁盘。
Volume
type – 选择原始磁盘是逻辑的还是物理的磁盘。
Show Processing
On
选项将在调查者或疑犯界面显示镜像获取过程。如果你选择在疑犯界面上显示过程,你可以在镜像开始后断开调查者的计算机。镜像将在疑犯计算机界面上继续显示过程。
Verify after imaging
completes
在镜像成功完成后将校验镜像。
一旦你设定了必须的选项,点击“Next”开始制作镜像。
一旦镜像制作开始,你将看到状态窗口。.
一旦镜像完成,校验镜像开始。
一旦校验完成,点击下一步按钮显示镜像和校验的详细资料。
点击报告按钮允许你保存信息到文件。
|
