“正常”复制不起作用,因为文件正在使用中且受到系统保护(并且显然 VSS 也无效),所以我不确定如何继续。
答案1
显然,这不会那么容易。出于好奇,我安装了一个由Macrium Reflect 免费使用 Windows卷影复制服务 (VSS)还有是文件名休眠文件,页面文件系统, 和交换文件。然而,当检查HxD 十六进制编辑器,所有三个文件都只包含 0x00(空)字符。
这不证明VSS 不会复制数据;可能是出于安全考虑,Reflect 将数据设置为空。然而,复制这些文件看似简单的方法却失败了。
然而,也许可以查看 RAM 中的数据使用诸如FTK 成像仪。警告:我没有尝试过该法医工具,无法保证其安全性或有效性。