2019独角兽企业重金招聘Python工程师标准>>>

DD镜像是目前被最广泛使用的一种镜像格式,也称成原始格式(RAW Image)。DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。很显然,解决DD镜像容量大问题最好的方法就是采用数据压缩,例如gzip或bzip2。但是这种压缩方式带来的问题是无法正常访问压缩文件中的数据,因为法证工具需要像访问真实硬盘的文件系统一样访问镜像文件,而普通压缩软件压缩后的DD镜像必须首先解压缩才能够使用。

DD镜像的另一个问题就是对元数据的记录问题。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。

E01是法证分析工具EnCase的一个证据文件格式,较好地解决了DD镜像的一些不足。

EnCase以一系列特有的压缩片段格式保存证据文件。每一个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。
       Encase 证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。DD镜像文件不包含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。
       Encase在生成E01格式证据文件时,会要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等元数据。这些元数据将随证据数据信息一同存入E01文件中。文件的每个字节都经过32位的CRC校验,这就使得证据被篡改的可能性几乎为0。默认情况下,分析软件自动以每64扇区的数据块进行校验,这种方式兼顾速度和完整性两个方面的考虑。

转载于:https://my.oschina.net/airship/blog/1573101

DD镜像和E01镜像的主要区别相关推荐

  1. 【镜像取证篇】DD和E01镜像格式区别(简)

    [镜像取证篇]DD和E01镜像格式区别(简) ​ 简单总结下-[蘇小沐] 文章目录 [镜像取证篇]DD和E01镜像格式区别(简) 1.实验环境 (一)DD镜像-原始镜像(和源盘大小一致) (二)E01 ...

  2. 手动打开e01镜像文件并进行计算机取证

    每次开始一篇新的关于取证的博客,我必须要不断重复:真实性.关联性.合法性. 1.问题引入 在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电 ...

  3. 【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证

    [电子取证:镜像仿真篇]Linux镜像仿真.E01镜像取证 主要是Linux镜像仿真(DD.E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的"磁盘占用& ...

  4. linux dd目录生成iso文件,linux/OSX中“DD”命令制作ISO镜像操作系统安装U盘

    linux或者OS X系统中,使用"dd"命令可以直接在终端命令行模式下,制作ISO镜像的系统安装盘. 一.linux系统以centOS7为例. sudo dd if=镜像路径 o ...

  5. 用dd命令 制作ISO镜像文件到U盘

    在linux里可以利用dd命令制作iso镜像的安装盘 sudo dd if=镜像文件路径 of=usb设备路径 bs=1M status=progress 镜像文件路径:iso格式的文件存放的位置 u ...

  6. dockerfile以alpine为基础镜像构建nginx镜像

    dockerfile以alpine为基础镜像构建nginx镜像 文章目录 dockerfile以alpine为基础镜像构建nginx镜像 1:alpine 2:alpine软件包管理命令 apk ad ...

  7. 刻录启动镜像之一:镜像文件格式详解

    刻录启动镜像之一:镜像文件格式详解 Disk Image CD/DVD Live CD .iso .bin / .raw / .img .cue .dmg .nrg Disk Image 磁盘映像是包 ...

  8. 裸金属和虚拟机/裸金属镜像与普通镜像

    目录 裸金属镜像和虚拟机的区别 裸金属镜像和普通镜像的区别 裸金属和虚拟机的区别 裸金属机器(Bare Metal)和虚拟机(Virtual Machine)都是计算机系统中的不同类型. 裸金属机器是 ...

  9. docker 镜像基本操作、镜像与容器常用指令

    一,docker 镜像基本操作 导入镜像 导出镜像 启动镜像 # docker pull busybox //下载镜像# docker push busybox //上传镜像# docker imag ...

最新文章

  1. Win10系列:UWP界面布局基础11
  2. Linux监控   Nagios
  3. 新加坡建设绿色高层数据中心的构想有所争议
  4. 设计模式之单一职责原则
  5. stm32滴答计时器_STM32的系统滴答定时器(Systick)
  6. Android 学习 笔记_05. 文件下载
  7. ubuntu下手动安装jdk6
  8. java 托盘开发_基于java开发之系统托盘的应用
  9. “树人杯”暨第三届辽宁科技大学校园程序设计竞赛正赛G 又是一个小游戏(蓝)...
  10. KVM虚拟化实践-老男孩架构师课程教案笔记分享
  11. linux通过yum安装vim,linux/centos系统如何使用yum安装vi/vim?(转)
  12. linux信任公钥的配置
  13. Java经典编程习题100例,供初学者学习
  14. 怎样修改计算机系统8,win8改win7,教您win8怎么改为win7系统
  15. win10 计算机显示英文,电脑win10系统改了中文之后为何显示还是英文?
  16. 苹果电脑驱动下载查询
  17. 华为基本法 读书笔记
  18. ubuntu服务器基本安全配置
  19. python 左对齐 右对齐_python format格式化进阶-左对齐右对齐 取位数
  20. 如何挑选童书《神奇的校车》

热门文章

  1. 计算机网络基础知识【5】(08-09)
  2. 物联网竞赛套装配置简介
  3. pdf转化成图片格式
  4. 高速HDMI接口PCB板布线layout指南
  5. 菲律宾诈骗,请各位华人朋友警惕各类诈骗。
  6. fifa15android教程,FIFA15安卓离线单机版
  7. 微信小程序,直接给data中的对象添加属性
  8. latex: Change ieetran.bst bibliography style lastname before firstname
  9. Windows 10 打开 卓越模式
  10. 题目81:输入任一的自然数A, B, 求A , B的最小公倍数。