DD镜像和E01镜像的主要区别

Wesley13
• 阅读 787

DD镜像是目前被最广泛使用的一种镜像格式,也称成原始格式(RAW Image)。DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。很显然,解决DD镜像容量大问题最好的方法就是采用数据压缩,例如gzip或bzip2。但是这种压缩方式带来的问题是无法正常访问压缩文件中的数据,因为法证工具需要像访问真实硬盘的文件系统一样访问镜像文件,而普通压缩软件压缩后的DD镜像必须首先解压缩才能够使用。

       DD镜像的另一个问题就是对元数据的记录问题。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。

       E01是法证分析工具EnCase的一个证据文件格式,较好地解决了DD镜像的一些不足。

       EnCase以一系列特有的压缩片段格式保存证据文件。每一个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。
       Encase 证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。DD镜像文件不包含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。
       Encase在生成E01格式证据文件时,会要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等元数据。这些元数据将随证据数据信息一同存入E01文件中。文件的每个字节都经过32位的CRC校验,这就使得证据被篡改的可能性几乎为0。默认情况下,分析软件自动以每64扇区的数据块进行校验,这种方式兼顾速度和完整性两个方面的考虑。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
待兔 待兔
4个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Stella981 Stella981
3年前
Docker 类面试题(常见问题)
Docker常见问题汇总镜像相关1、如何批量清理临时镜像文件?可以使用sudodockerrmi$(sudodockerimagesqfdangingtrue)命令2、如何查看镜像支持的环境变量?使用sudodockerrunIMAGEenv3、本地的镜像文件都存放在哪里于D
Stella981 Stella981
3年前
Mac上制作Ubuntu USB启动盘
Mac上制作UbuntuUSB启动盘一、下载ubuntuiso镜像二、将iso转换为img文件$hdiutilconvertformatUDRWo/path/to/generate/img/file/path/to/your/iso/file该命令会生成一个.img的磁盘镜像文件,但是macos
Stella981 Stella981
3年前
Maven使用 国内镜像配置
Maven使用国内镜像配置  Maven  setting.xml中配置<repositories<repository<idnexus</id<namelocalprivatenexus</name
Stella981 Stella981
3年前
Jenkins插件下载镜像加速
转:https://www.cnblogs.com/zhuochong/p/10082498.html可供选择的jenkins2插件镜像列表:Jenkins所有镜像列表:http://mirrors.jenkinsci.org/status.html比如日本的镜像:http://mirror.esuni.jp/jenkins/,ht
Wesley13 Wesley13
3年前
01_docker镜像命令
docker镜像命令1\.dockerimages参数:\a:列出本地所有的镜像\q:只显示镜像id\digests:显示镜像的摘要信息\notrunc:显示完整的镜像信息dockerimagesd
Stella981 Stella981
3年前
Linux 磁盘管理
Linux磁盘管理1.查看磁盘或者目录的容量df和dudf查看已挂载磁盘的总容量、使用容量、剩余容量等,可以不加任何参数,默认是按k为单位显示的df!(https://oscimg.oschina.net/oscnet/2a85de92f0249e7dd3523f0cbc1fcfafdc2.jpg)df常用参
Stella981 Stella981
3年前
28项容器镜像的检查清单(Checklist)
容器镜像是云原生环境中各类应用的标准交付格式。由于容器镜像需要大量分发和部署,因此,需要确保容器镜像在构建、分发和运行全生命周期内的安全。镜像扫描是检查操作系统和安装包中是否存在已知漏洞的一项基本措施。除此之外,还有很多措施可以加强容器镜像的安全。如下表所示,基于镜像安全4个阶段,11个要求,28项检查点,全面检测容器生命周期各个阶段的镜像风险,确保容器镜像
RAW镜像格式介绍
RAW(Raw Disk Image)是一种简单而基本的虚拟化镜像格式,用于存储虚拟机的磁盘内容。它是一种原始的二进制文件格式,直接将虚拟机的磁盘映像保存为连续的字节流,没有经过特定的压缩或加密处理。