很多用户在安装了EnCase v7之后会发现,在建立了几个案例之后,C盘可用空间便会急剧减少,尤其是使用了Case Processor的案例,C盘空间减少的情况更为明显。
原因分析:
之前在EnCase v7的新功能介绍中提到,EnCase v7采用了新的加载方式,v6及之前的版本在复合文件加载以及索引过程中,均需要占用大量内存,而在EnCase v7中,符合文件、Case Processor以及索引均改为“硬盘换内存”的方式,即所有复合文件将被直接解析为若干L01等文件并存储至硬盘,这个存储位置便是案例缓存位置Primary Cache,而用户新建案例时一般不会更改默认的C:\Users\%username%\Documents\EnCase\EvidenceCache目录,所以,在进行Case Processor、搜索、索引等操作时,大量的缓存文件会被保存到上述位置,从而导致C盘可用空间急剧减小。
解决方案:
EnCase v7版本和v6版本在存储上有一定的改变,案例缓存存储的数据将比v6中更多、容量更大。
用户只需养成习惯,在新建案例时,将Primary Evidence Cache指定在非系统目录下即可。