https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x02%E7%94%B5%E5%AD%90%E5%8F%96%E8%AF%81/1%E7%A3%81%E7%9B%98%E9%95%9C%E5%83%8F/%E9%95%9C%E5%83%8F%E7%B1%BB%E5%9E%8B%E5%8F%8A%E5%90%84%E4%BA%A7%E5%93%81%E7%89%B9%E6%80%A7%E5%AF%B9%E6%AF%94/index.html镜像格式 镜像各格式的区别 **DD镜像：**也称成原始格式(RAW Image)。DD镜像 的优点是兼容性强，目前所有磁盘镜像和分析工具都支持DD格式。此外，由于没有压缩，镜像速度较快。DD镜像最主要的问题就是非压缩格式，镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据，也一样需要同样的磁盘容量。DD镜像是对嫌疑硬盘进行位对位的复制方法，因此生成的镜像文件中没有保存额外信息的空间。因此，例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部，就有可能出现丢失或与其他硬盘信息混淆的情况。也就是说DD 镜像文件不包 含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。”的文档。 **E01镜像：**传统的EnCase证据文件（.E01）是法证分析工具EnCase的一个证据文件格式，较好的解决了DD镜像的一些不足。EnCase以一系列特有的压缩片段格式保存证据文件。每个片段都可以在需要时被单独地调用并解压缩，因此可以实现随机地访问镜像中的数据。Encase证据文件中包含有三个组成部分：文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述，并可用于将证据文件重新恢复至硬盘。E01格式最大的问题就是兼容性问题。EnCase格式是非公开的、具有知识产权的商业软件镜像格式。 **Ex01镜像：**EnCase V7引进的新格式，EnCase证据文件（.Ex01）是E01的数据加密格式，设置密码后，若忘记密码则无法读取其中数据。 **L01镜像：**传统的EnCase逻辑证据文件（L01）L01是仅仅对元数据中的一部分文件制作镜像的一种格式。E01及L01文件虽然也支持添加密码，但是密码仅用来限制镜像文件的打开，数据部分并未真正加密，很多取证工具可以直接忽略E01及L01文件的密码。如果需要处理的对象是整个存储设备或整个分区，应该保存成E01或Ex01格式；如果仅仅对源数据中的部分文件制作镜像，应该选择L01或Lx01格式。 **Lx01镜像：**EnCase V7引进的新格式，现行的EnCase逻辑证据文件（.Lx01）Lx01是L01的数据加密格式，设置密码后，若忘记密码则无法读取其中数据。如果工作中要使用其他取证工具进行分析，为了保证兼容性，建议选择E01及L01格式，否则可以使用Ex01及Lx01格式。 **AFF镜像：**针对E01和DD镜像文件的不足，AFFLIB公司于2006年推出了开源的证据文件格式AFF格式（Advanced Forensics Format）。这种格式是公开且可扩展的。和EnCase证据文件格式相似，AFF也以压缩片段的方式保存磁盘镜像，镜像文件经过压缩容量明显减小。和EnCase不同的是，AFF既可以将元数据保存在镜像文件内部，也可以同时允许元数据被单独保存在一个文件夹中。一旦发生磁盘镜像文件破损的情况，AFF的内部连续性算法也能够保证尽可能多的将破损的镜像恢复修复。AFF分段镜像可以被开源工具zlib进行压缩，也可以保持未压缩状态。对AFF压缩格式可以节省空间，但是创建时间较长，而且分析处理的速度较慢。具体采用压缩还是不采用压缩，可以根据实际情况来决定。但是未压缩的AFF文件可以很容易地再次压缩。 **img镜像：**img格式是图像文件的一种格式，它具有很高的压缩效率，IMG格式支持任意大小的图像。img 图像文件格式，图像的数据是以类似二维数组格式存放的。在其第一行的头两个位置存放的是图像的宽度，其后面的两位是存放着图像的高度，接着的一个位置里存放着图像的灰度级，而其剩下的所有位置存放的都是图像的灰度。IMG格式常用于Digital Research 应用程序中。img格式属于镜像的一种，可以通过制作数据光盘或者使用虚拟光驱(如 WinMount)安装IMG数据文件。 由于.ISO只能压缩使用ISO9660和UDF这两种文件系统的存储媒介，意即.ISO只能拿来压缩CD或DVD，因此才发展出了.IMG，它是以.ISO格式为基础另外新增可压缩使用其它文件系统的存储媒介的能力，.IMG可向后兼容于.ISO，如果是拿来压缩CD或DVD，则使用.IMG和.ISO这两种格式所压缩出来的内容是一样的。img格式的打开方式可以是光盘刻录，也可以用软件解压。IMG可以做为以下用途：数字存储、传输、以及整片软盘内容的复制，可挂载到虚拟软盘上。 ** **Hugozh-CN