Volumen NTFS no reconocido por autopsia

Navega tus respuestas
1

Al usar dcfldd, he creado una imagen de un disco de un volumen duplicado win10.

La autopsia no lo reconoce como un sistema de archivos NTFS, sino que muestra "SFS" o "sistema de archivos seguro".

La máquina de destino está, de hecho, utilizando NTFS. Supongo que debido a que este es un volumen dinámico con la creación de reflejo habilitada, no lo reconoce correctamente.

Todavía tengo acceso al disco en bruto, pero también necesito poder hacer un análisis de archivos.

La autopsia se queja con este error: 

Invalid magic value (Not a NTFS file system (magic))

¿Cómo soluciono esto para que Autopsy pueda realizar el análisis de archivos?

Aquí está la salida de blkcat -hwv -o 63 sdb.dd 0

    
pregunta DrDamnit 13.06.2017 - 14:02
fuente

2 respuestas

1

Si la unidad está utilizando Logical Disk Management y adquirió la unidad física (en lugar de la unidad lógica presentada por Windows), Autopsia no sabrá cómo interpretarla. Actualmente no tiene soporte LDM.

    
respondido por el Brian Carrier 19.06.2017 - 17:08
fuente
0

Use EnCase en lugar de usar dcfldd. Es el estándar de la industria para informática forense.

    
respondido por el JuliaTheMad 17.08.2017 - 04:58
fuente

Lea otras preguntas en las etiquetas

¿Es seguro marcar información confidencial en el teclado de un teléfono? ¿Cómo puedo elegir una buena API / proveedor de seguridad para implementar AES en un sistema de producción?