第八届全国取证赛马上就要开始了，不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题，我直接推荐UFS Explorer RAID Recovery，但试用版无法导出大文件（其实可以变通地先导出分区镜像，然后用其他工具加载并分析）。由于日常使用X-Ways Forensics更多一些，便尝试了一番，发现X-Ways其实处理软RAID也挺方便的。Linux下的软RAID...

数据恢复永远是电子数据取证中最重要的内容之一。每当客户问我：胡工，能帮忙恢复一下xx文件吗？大部分时候我的回答是：很遗憾，这些文件已经彻底无法恢复了。无法恢复的原因是如今操作系统（无论是Windows、macOS，还是Android、iOS）均支持固态硬盘的[[2-电子取证:2.基础知识:trim|TRIM]]功能，且会默认启用。这意味着文件删除后，系统会在空闲时间将对应区域置零，也就是彻底...

今天在使用X-Ways处理工作的时候，不经意间注意到X-Ways提示框弹出了Archive bomb的相关提示，内容大致如下：仔细回想，貌似前几天就出现过类似的提示，只是太忙直接忽略了。Archive bomb是什么？根据经验，推测是X-Ways遇到了处理不了的文件。个人猜测应该是这个压缩包里面有逻辑错误，导致软件无法解析。什么错误会被称为“bomb”呢？好奇心让我忍不住打开谷歌一探究竟，结...

电子数据取证工作中，加载、查看镜像文件数据是非常高频的需求，也是取证软件最基础最功能，但这并不意味着每个取证软件都能把这一功能做到极致。大部分取证软件加载镜像需要比较长的时间。国内的取证软件，一般需要先新建案例后添加镜像，完成文件系统解析才能浏览其中的数据。个人一直不习惯这一逻辑，因为每天要加载查看很多的镜像，但大多数情况下都是临时分析，每次创建案例耗时容易打断思路，而且软件启动后看到一堆无...