Answers:
由于您不知道设备正在使用的文件系统,并且要访问文件,因此应该采取“取证”路径。一些随机的想法,以NO顺序排列:
(除4号外,以下编都不需要/没有安装。所有编都可以免费使用。)
1)前往cgsecurity.org并下载最新版本。它可以识别许多类型的分区。它是一个命令行编。解压缩该zip,然后运行“ testdisk_win.exe / list”以查看其是否可以识别您的设备,或者只是运行“ testdisk_win.exe”,然后使用光标跟随命令行菜单。在任何时候您认为做错了选择,请按住CTRL-C并重新运行它,或关闭CMD窗口,所有这些都将帮助您识别分区(如果这是您的要求)
2)在同一个zip中(参见上文),还有另一个称为“ Photorec”的编(也是命令行)。它使用文件雕刻技术。这意味着它可以根据已删除(或未删除)的文件结构查找文件。它可能会将您的设备视为“原始”设备,然后根据其文件结构“雕刻”它以提取所有可能的文件
3)进入accessdata.com并下载2.9.0版的FTK Imager Lite。打开FTK Imager->文件->添加证据项目->选择“物理驱动器”->它应列出您的设备,例如“ \ device_blah”。确保您没有连接其他设备,或者如果您已连接其他设备,请确保能够识别它们并知道哪个是哪个。如果在那里看到您的设备,请单击“完成”,它将安装您的设备。从屏幕的左侧,您可以查看设备的规格以及查看和导出文件。
4)转到findandmount.com。该程序称为“分区查找和挂载”。该站点的一些随机行:
它可能会找到您的分区并将其挂载为只读。从那里您将看到您的文件并将其解压缩。
如果找不到分区或文件...,您可能想在Forensic Focus Forum上提问。不要忘记告诉我们您是否取得了成功以及如何取得成功。
抱歉,长帖子:P
由于它是自定义硬件,因此我猜它正在使用开源文件系统。刻录Ubuntu LiveCD,从中重启计算机,然后查看CF卡是否已安装。如果是这样,则可以使用Ubuntu来确定文件系统是什么,以及Windows上是否有程序读取该文件系统。如果没有,则始终可以使用Ubuntu将CF从CF传输到NTFS Windows硬盘驱动器。