取证大师怎么打开镜像文件

在现场的取证过程中，经常会遇到开机状态的电脑，一旦关机，存储在内存里面的重要数据将会丢失。如何对内存中的数据进行固定和分析呢？今天我们就给大家介绍取证大师v5工具箱的2款小工具，帮忙大家解决这个问题。物理内存的镜像获取

1在工具栏中单击“工具集”，并在d出的“工具集”对话框中选择“现场取证类” >“物理内存镜像获取工具”。

2在d出的对话框中，按照提示输入镜像保存的分区名称，按回车，物理内存镜像获取。

3物理内存镜像获取完成后，按任意键退出该对话框，在输入的镜像保存分区目录下可查看已获取的文件，如下图所示，可使用“工具集”的“内存镜像解析工具”对该镜像文件进行解析。

答：在Internet上的给主机编址的方式。

启动取证大师，选择新建案例，填写案件相关信息并选择相关选项。取证大师自动d出添加设备窗口，选择磁盘镜像，选择证据文件的正确位置。取证大师自动d出自动取证窗口，选择微软的Windows图标，然后选择要分析的项目及相关参数设置。

同时按住“win键和r键”，输入“cmd”，输入“ipconfig/all”，敲击回车即可。

IP地址,全称为网际协议地址,是一种在Internet上的给主机编址的方式。

取证大师官方版是一款专为用户打造的手机取证软件，取证大师最新版软件可以由任何人实时的验证电子数据的起源、时间和完整性。

---