我对 DFF - 数字取证框架有疑问。更准确地说,是关于它的控制台模式。
我知道,有 GUI 模式,但我需要控制台模式才能通过 php 在我的 Web 应用程序中使用它。
所以,当我使用 dff --help 时,我看到的信息确实不是很有用。另外,项目的 wiki 现在已经关闭:http://wiki.digital-forensic.org/
我需要 DFF 来打开一些 .raw 图像并从中导出一些现有的和已删除的文件。但我需要使用控制台模式来执行此操作。我不知道如何做到这一点,也不知道在哪里可以获得一些有关 DFF 控制台模式的文档。
也许有人使用过这个框架,或者知道在哪里可以找到文档?
答案1
抱歉,我不熟悉 DFF,但我使用Sleuthkit.它可以做你要求做的事 -打开原始图像,识别文件系统,显示文件列表,并提取现有文件和(如果可能)已删除的文件。您无需构建自己的 Web 界面,因为您可以使用Autopsypackage.json。这样您就可以远程工作。功能和稳定性不断增强,并且有据可查。它还可以直接使用 EWF 取证证据格式,您可以节省一些磁盘空间,有时甚至可以节省大部分证据数据(如果存储特别失败)。