Tod*_*oks 10 windows filesystems memory-card forensics compact-flash
我有一个用于定制硬件的 CompactFlash 卡。WAV 文件被写入其中。Windows 无法识别媒体并希望对其进行格式化,这排除了 FAT 16/32、NTFS、UDF 等。是否有 Windows 工具可以确定媒体使用的文件系统并可能读取内容?
我试过 dskprobe.exe,但没有用。
lab*_*ice 10
由于您不知道设备正在使用的文件系统,并且您想访问这些文件……您应该采用“取证”路径。一些无序的随机想法:
(以下程序不需要/有安装,除了 4。所有程序都可以免费使用。)
1) 前往cgsecurity.org并下载最新版本。它可以识别多种类型的分区。它的命令行程序。解压缩 zip 并运行“testdisk_win.exe /list”以查看它是否识别您的设备,或者只运行“testdisk_win.exe”并使用光标跟随命令行菜单。使用前请阅读该站点的手册。在任何时候你认为做了一个错误的选择,CTRL-C 并重新运行它,或者关闭 CMD 窗口。所有这些都将帮助你识别分区(如果这是你之后的)
2)从同一个zip(见上文)有另一个名为“Photorec”(也是命令行)的编。它使用文件雕刻技术。这意味着它可以根据文件结构找到已删除(或未删除)的文件。它可能会将您的设备视为“原始”设备,并根据文件结构“雕刻”它以提取所有可能的文件
3) 前往accessdata.com并下载FTK Imager Lite 版本 2.9.0打开 FTK Imager -> 文件 -> 添加证据项目 -> 选择“物理驱动器” -> 它应该列出您的设备,例如“\device_blah”。确保您没有连接其他设备,或者如果有,请确保您能识别它们并知道哪个是哪个。如果您看到您的设备,请单击“完成”,它将安装您的设备。从屏幕的左侧,您可以看到设备的规格并查看和导出文件。
4)去findandmount.com。该程序称为“分区查找和挂载”。来自该站点的一些随机行:
它可能会找到您的分区并将其挂载为只读。从那里您将看到您的文件并提取它们。
如果您没有找到分区是什么或您的文件……您可能想在Forensic Focus Forum 上提问。不要忘记告诉我们您是否成功以及如何成功。
对不起,长篇文章:P
| 归档时间: |
|
| 查看次数: |
16431 次 |
| 最近记录: |