检材类别 常见后缀 特征与识别技巧 火眼分析步骤
手机备份 .tar
.ab
.bak		 常来自手机逻辑备份,文件内部包含数据库、配置等。 1. 使用雷电APP智能分析模块直接加载。 2. 或通过火眼**【添加证据】** -> 【手机备份】 导入。
磁盘/分区镜像 .E01
.dd
.img
.vmdk		 .E01
是EnCase证据文件格式;.vmdk
是虚拟机磁盘文件。		 1. 通过**【添加证据】** -> 【磁盘镜像】 加载。 2. 对于多盘LVM,火眼会提示添加相关磁盘。
内存镜像 .mem
.raw
.dmp
.img		 内存抓取文件,无固定后缀,常通过上下文判断。 1. 使用火眼的内存分析或**【添加证据】** -> 【内存镜像】 功能。 2. 结合工具箱内的内存取证工具进行深度解析。
应用程序数据 .db
.sqlite		 移动应用或程序产生的数据库文件。 1. 在火眼文件系统视图中找到该文件。 2. 使用**【数据库取证】**工具直接打开并分析。
压缩包 .zip
.rar
.7z		 需解压后分析内容
(可能包含任何类型的文件)