2）导出多个数据包：需要导出多个数据包时，可结合上述标记功能进行，将所需想导出数据包进行标记后，选择【导出特定分组】，在「导出分组界面」，选择第二个

file）第二步：选择需要挂载的镜像文件，然后选择打开。第三步：打开完镜像之后，接下来会进入到挂载选项界面。在这里，我们需要选择挂载方式。目前免费版支持两种挂载方式：1、只读设备方式（Disk

事件ID数值及其代表意义相关内容较多，这里就不进行列举，感兴趣可以自行搜索。此外windows操作系统在默认情况下，无法删除特定类型的日志记录，仅提供清除所有日志记录功能。叁

windows操作系统在运行过程中会产生大量的日志信息，其中windows事件日志是电子数据取证中重要的一环，这期文章就对windows事件日志进行介绍。1、什么是事件日志