DD镜像是目前被最广泛使用的一种镜像格式,也称成原始格式(RAW Image)。DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。很显然,解决DD镜像容量大问题最好的方法就是采用数据压缩,例如gzip或bzip2。但是这种压缩方式带来的问题是无法正常访问压缩文件中的数据,因为法证工具需要像访问真实硬盘的文件系统一样访问镜像文件,而普通压缩软件压缩后的DD镜像必须首先解压缩才能够使用。
DD镜像的另一个问题就是对元数据的记录问题。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。
E01是法证分析工具EnCase的一个证据文件格式,较好地解决了DD镜像的一些不足。
EnCase以一系列特有的压缩片段格式保存证据文件。每一个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。
Encase 证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。DD镜像文件不包含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。
Encase在生成E01格式证据文件时,会要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等元数据。这些元数据将随证据数据信息一同存入E01文件中。文件的每个字节都经过32位的CRC校验,这就使得证据被篡改的可能性几乎为0。默认情况下,分析软件自动以每64扇区的数据块进行校验,这种方式兼顾速度和完整性两个方面的考虑。