使用FTKImager和windows版dd (),我需要创建此驱动器的取证副本。到目前为止,我唯一学到的dd命令是:
C:\windows\system32>[location of dd.exe] if=[location of raw image dump] of=\\.要执行此任务,只需使用此命令,我必须对复制驱动器分区三次,创建三个映像转储,并分别对每个分区映像对执行dd操作。这似乎很繁琐,甚至不会创建原始驱动器的真正法医副本。有没有一种方法可以将原始驱动器作为一个整体制作一个原始映像,并且有一个d