轉換取證快照

使用 SDR 匯出器工具轉換取證快照，以便對其執行查詢。

SDR 匯出器工具用於將裝置上的取證快照轉換爲可以執行進階查詢的格式。快照接著可以轉換爲 SQLite 資料庫或 JSON 格式的檔案。

有幾個版本的工具可用。下載適用的版本。從以下內容進行選擇：

• Sophos Endpoint Core Agent 2.4.1 和 Sophos Server Core Agent 2.2.7 及更早版本 - 32 位元版本
• Sophos Endpoint Core Agent 2.4.1 和 Sophos Server Core Agent 2.2.7 及更早版本 - 64 位元版本
• Sophos Endpoint Core Agent 2.5.0 和 Sophos Server Core Agent 2.5.0 及更新版本 - 32 位元版本
• Sophos Endpoint Core Agent 2.5.0 和 Sophos Server Core Agent 2.5.0 及更新版本 - 64 位元版本

如欲轉換快照：

• 指定要轉換的快照的路徑和檔案名，以及輸出檔案的路徑和檔案名及格式。您必須至少使用這些選項。您使用的命令取決於您所使用的工具版本。

  • 64 位元：SDRExporterx64.exe –i <path to snapshot tgz> -o <path to output file> -f <format to output sqlite or json>

  • 32 位元：SDRExporterx86.exe –i <path to snapshot tgz> -o <path to output file> -f <format to output sqlite or json>

    選項：

    • -h [ --help ] 列印說明訊息
    • -i [ --input-path ] arg 輸入快照容器檔案的路徑
    • -o [ --output-path ] arg 輸出檔案路徑
    • -f [ --output-format ]
    • arg (=sqlite) 輸出格式（選項： SQLite 或 json ）
    • -v [ --output-version ]
    • rg 輸出版本 - 預設爲最新版本