Users Guide
Incorporation 55
g
Dans le volet de droitre, sélectionnez l'affaire.
h
Cliquez sur
Add Evidence Files
, puis accédez au référentiel E01 (en
utilisant la configuration de meilleure pratique décrite dans
Figure 3-5
,
ce référentiel doit être stocké sur l'unité
X:\
).
i
Cliquez sur
Next
→
Next
→
Finish
. Une icône de chronomètre apparaît
dans la partie inférieure droite de l'écran EnCase
Acquisition
et EnCase
va vérifier le fichier E01. La vérification peut durer un certain temps
en fonction de la taille du fichier.
3
Dans le logiciel EnCase, ajoutez le périphérique de stockage cible en
utilisant l'assistant
Add Device
.
4
Obtenez le contenu du périphérique.
a
Depuis le logiciel EnCase, cliquez sur
Cases
→
Entries
→
Home
, puis
cliquez avec le bouton droit de la souris sur le périphérique dont vous
voulez obtenir le contenu.
b
Sélectionnez
Acquire
dans le menu déroulant.
c
Dans la boîte de dialogue
After Acquisition
, sélectionnez le type du
fichier de la nouvelle image
:
•
N'ajoutez pas
les options qui excluent la nouvelle image acquise
de l'affaire ouverte.
•
Add to Case
ajoute la nouvelle image acquise dans le fichier
d'affaire associé au périphérique sur lequel l'image a été prise.
•
Replace a source device
ajoute la nouvelle image acquise à l'affaire
et supprime le périphérique prévisualisé où a été exécuté l'acquisition.
d
Cliquez sur
Finish
. A la fin de la création d'image, la boîte de dialogue
Acquisition Results
s'affiche.
Utilisation des bloqueurs d'écriture de Tableau
PRÉCAUTION : Ne retirez pas un disque dur un point d'investigation informatique
sous tension.
PRÉCAUTION : N'utilisez pas de rallonge USB avec un pont d'investigation
informatique.