【镜像取证篇】DD和E01镜像格式区别(简)
简单总结下—【蘇小沐】
文章目录
- 【镜像取证篇】DD和E01镜像格式区别(简)
- 1、实验环境
- (一)DD镜像-原始镜像(和源盘大小一致)
- (二)E01镜像-压缩镜像(一般比源盘小)
- (三)镜像大小对比
- 1、空盘数据
- 2、非空盘数据
- 总结
1、实验环境
| 系统 | 版本 |
|---|---|
| Windows11专业工作站版 | 22H2(22621.1555); |
| FTK Imanger | 4.7.1.2; |
| 镜像 | NTFS格式的2GB空盘; |
(一)DD镜像-原始镜像(和源盘大小一致)
DD镜像也称成原始格式(RAW Image);对数据进行位对位的复制,与原始证据数据完全一致。
DD镜像一般以.dd、.001为后缀为主。
| 优缺点 | 说明 |
|---|---|
| DD镜像优点 | DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。镜像制作速度较快。 |
| DD镜像缺点 | 没有压缩,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。(正常情况下存镜像的盘需要大于镜像,否则有缓存等情况下,原始盘和存储盘一样大的情况下,不一定就能存进去) |
(二)E01镜像-压缩镜像(一般比源盘小)
E01是电子数据取证分析工具EnCase的一种证据文件格式。国内外的取证软件大体上都支持E01镜像的制作。一般是.E01、.e01后缀。
(三)镜像大小对比
使用FTK Imager制作E01镜像的时候,注意设置镜像压缩级别。压缩(0 =没有,最快1 = . . 9 =最小)
1、空盘数据
但如果数据是空盘情况下,E01镜像不一定比DD镜像小(看设置的压缩级别,没有设置的情况下相差不多,E01还可能略大)。
设置压缩级别为9。E01镜像才几兆,远远小于DD镜像,可节约大量存储空间。(具体以磁盘数据量为主)
2、非空盘数据
蘇小沐.E01是空盘数据的镜像,压缩级别为0。
蘇小沐-0.E01是填充了数据的镜像,压缩级别为0。
蘇小沐-9.E01是填充了数据的镜像,压缩级别为9。
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 蘇小沐 所有,转载请注明文章出处】
| 名称 | 时间 |
|---|---|
| 开始编辑日期 | 2023 年 04 月 19 日 |
| 最后编辑日期 | 2023 年 04 月 19 日 |
