技术报告:对活动系统进行文件系统数据的选择性成像
摘要:存储设备备份前的选择性备份减轻了由于存储设备容量增加而引起的问题。选择性备份是指仅将显式选择的数据对象包含在复制的数据中。虽然选择性备份已经针对事后数据采集进行了定义,但在活动状态下,即使用包含证据的系统来执行备份软件的过程还不够明确和理解。本文介绍了一种基于DFIR ORC框架和使用AFF4作为容器格式的新型Windows操作系统下的选择性备份工具SIT的设计和实施。我们讨论了SIT设计的基本原理,并评估了其有效性。
作者:Fabian Faust, Aur''elien Thierry, Tilo M"uller, Felix Freiling
论文ID:2012.02573
分类:Other Computer Science
分类简称:cs.OH
提交时间:2020-12-07