【镜像取证篇】DD和E01镜像格式区别(简)
文章目录
【镜像取证篇】DD和E01镜像格式区别(简)
1、实验环境
(一)DD镜像-原始镜像(和源盘大小一致)
(二)E01镜像-压缩镜像(一般比源盘小)
(三)镜像大小对比
1、空盘数据
2、非空盘数据
总结
1、实验环境
系统 版本
Windows11专业工作站版 22H2(22621.1555);
FTK Imanger 4.7.1.2;
镜像 NTFS格式的2GB空盘;
(一)DD镜像-原始镜像(和源盘大小一致)
DD镜像也称成原始格式(RAW Image);对数据进行位对位的复制,与原始证据数据完全一致。
DD镜像一般以.dd、.001为后缀为主。
优缺点 说明
DD镜像优点 DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。镜像制作速度较快。
DD镜像缺点 没有压缩,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。(正常情况下存镜像的盘需要大于镜像,否则有缓存等情况下,原始盘和存储盘一样大的情况下,不一定就能存进去)
(二)E01镜像-压缩镜像(一般比源盘小)
E01是电子数据取证分析工具EnCase的一种证据文件格式。国内外的取证软件大体上都支持E01镜像的制作。一般是.E01、.e01后缀。
(三)镜像大小对比
使用FTK Imager制作E01镜像的时候,注意设置镜像压缩级别。压缩(0 =没有,最快1 = . . 9 =最小)
1、空盘数据
但如果数据是空盘情况下,E01镜像不一定比DD镜像小(看设置的压缩级别,没有设置的情况下相差不多,E01还可能略大)。
设置压缩级别为9。E01镜像才几兆,远远小于DD镜像,可节约大量存储空间。(具体以磁盘数据量为主)
2、非空盘数据
蘇小沐.E01是空盘数据的镜像,压缩级别为0。
蘇小沐-0.E01是填充了数据的镜像,压缩级别为0。
蘇小沐-9.E01是填充了数据的镜像,压缩级别为9。
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/NDASH/article/details/130241833