镜像类型及各产品特性对比

镜像格式

镜像各格式的区别

  • **DD镜像:**也称成原始格式(RAW Image)。DD镜像 的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。也就是说DD 镜像文件不包 含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。”的文档。
  • **E01镜像:**传统的EnCase证据文件(.E01)是法证分析工具EnCase的一个证据文件格式,较好的解决了DD镜像的一些不足。EnCase以一系列特有的压缩片段格式保存证据文件。每个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。Encase证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。E01格式最大的问题就是兼容性问题。EnCase格式是非公开的、具有知识产权的商业软件镜像格式。
  • **Ex01镜像:**EnCase V7引进的新格式,EnCase证据文件(.Ex01)是E01的数据加密格式,设置密码后,若忘记密码则无法读取其中数据。
  • **L01镜像:**传统的EnCase逻辑证据文件(L01)L01是仅仅对元数据中的一部分文件制作镜像的一种格式。E01及L01文件虽然也支持添加密码,但是密码仅用来限制镜像文件的打开,数据部分并未真正加密,很多取证工具可以直接忽略E01及L01文件的密码。如果需要处理的对象是整个存储设备或整个分区,应该保存成E01或Ex01格式;如果仅仅对源数据中的部分文件制作镜像,应该选择L01或Lx01格式。
  • **Lx01镜像:**EnCase V7引进的新格式,现行的EnCase逻辑证据文件(.Lx01)Lx01是L01的数据加密格式,设置密码后,若忘记密码则无法读取其中数据。如果工作中要使用其他取证工具进行分析,为了保证兼容性,建议选择E01及L01格式,否则可以使用Ex01及Lx01格式。
  • **AFF镜像:**针对E01和DD镜像文件的不足,AFFLIB公司于2006年推出了开源的证据文件格式AFF格式(Advanced Forensics Format)。这种格式是公开且可扩展的。和EnCase证据文件格式相似,AFF也以压缩片段的方式保存磁盘镜像,镜像文件经过压缩容量明显减小。和EnCase不同的是,AFF既可以将元数据保存在镜像文件内部,也可以同时允许元数据被单独保存在一个文件夹中。一旦发生磁盘镜像文件破损的情况,AFF的内部连续性算法也能够保证尽可能多的将破损的镜像恢复修复。AFF分段镜像可以被开源工具zlib进行压缩,也可以保持未压缩状态。对AFF压缩格式可以节省空间,但是创建时间较长,而且分析处理的速度较慢。具体采用压缩还是不采用压缩,可以根据实际情况来决定。但是未压缩的AFF文件可以很容易地再次压缩。
  • **img镜像:**img格式是图像文件的一种格式,它具有很高的压缩效率,IMG格式支持任意大小的图像。img 图像文件格式,图像的数据是以类似二维数组格式存放的。在其第一行的头两个位置存放的是图像的宽度,其后面的两位是存放着图像的高度,接着的一个位置里存放着图像的灰度级,而其剩下的所有位置存放的都是图像的灰度。IMG格式常用于Digital Research 应用程序中。img格式属于镜像的一种,可以通过制作数据光盘或者使用虚拟光驱(如 WinMount)安装IMG数据文件。 由于.ISO只能压缩使用ISO9660和UDF这两种文件系统的存储媒介,意即.ISO只能拿来压缩CD或DVD,因此才发展出了.IMG,它是以.ISO格式为基础另外新增可压缩使用其它文件系统的存储媒介的能力,.IMG可向后兼容于.ISO,如果是拿来压缩CD或DVD,则使用.IMG和.ISO这两种格式所压缩出来的内容是一样的。img格式的打开方式可以是光盘刻录,也可以用软件解压。IMG可以做为以下用途:数字存储、传输、以及整片软盘内容的复制,可挂载到虚拟软盘上。

** **

各产品特性对比表:

产品名 支持的系统 支持数据类型 支持镜像的格式
EnCase Forensic Imager win 镜像文件(包括E01、L01、Ex01、Lx01、dd、vmdk、vhd等格式)本地连接的各种磁盘、存储卡内存数据远程数据(需要配合LinEn使用) Ex01/Lx01/E01/L01
dd/dc3dd linux 磁盘文件数据 RAW
Getdata forensic imager win 获取物理,逻辑,文件夹和文件。 E01/L01
Clonezilla win/linux 磁盘文件数据 RAW
安恒windows应急取证精灵 win 支持在线或离线方式镜像可选择镜像的格式、分卷大小、储存位置、是否压缩、哈希计算方式 dd/E01/AFF
Datanumen disk image win 支持各种磁盘和驱动器 img
Guymager linux 支持各种磁盘和驱动器 dd/E01/AFF

各产品特性详情:

EnCase Forensic Imager(win)

特性

  • 允许获取本地驱动器
  • 可以免费下载和使用吗
  • 不需要安装
  • 一个独立的产品不需要装箱取证许可证吗
  • 允许浏览和查看潜在的证据文件,包括文件夹结构和文件元数据
  • 使用强AES 256位加密保护Lx01和Ex01文件
  • 可以通过USB部署,并用于执行获取一个实时设备

EnCase Imager支持处理常见的各种数据类型:

  • 镜像文件(包括E01、L01、Ex01、Lx01、dd、vmdk、vhd等格式)
  • 本地连接的各种磁盘、存储卡
  • 内存数据
  • 远程数据(需要配合LinEn使用)

其中支持镜像文件,主要用来转换格式,以减小原镜像体积,以及添加证据编号、备注信息等各种元数据。

镜像格式

EnCase Imager可以生成四种格式的镜像

  • Ex01/Lx01/E01/L01

dd/dc3dd(linux)

特性:

  • linux自带免安装

压缩格式:

  • RAW Image
  • 可加gzip命令压缩

Getdata forensic imager (win)

特点

  • 获取物理,逻辑,文件夹和文件。
  • 重新获取现有的取证图像文件。
  • 支持使用GetData Forensics Servlet从远程设备进行获取。
  • 使用MD5,SHA1或SHA256采集哈希值获取.E01或DD格式。
  • 使用完整的MD5,SHA1或SHA256文件哈希获取L01格式的文件夹和文件。
  • 创建后自动验证采集哈希。
  • 对整个设备成像或设置开始和结束扇区位置。
  • 将图像文件分割成没有段大小限制的自定义段。
  • 设置设备扇区大小以获取512、2048或4096扇区大小的选项。
  • 强制将Windows兼容文件名与Magnet Forensics产品一起使用的选项。

镜像格式

  • E01/L01

支持E01和L01格式的EnCase None,Fast,Good,Best压缩设置。包括E01和L01格式写入采集信息。

Clonezilla (win\linux)

特性

  • 支持GNU/Linux下的LVM2 (LVM版本1不支持)。
  • 可以重新安装引导加载程序,包括grub(版本1和版本2)和syslinux。
  • 支持MBR和GPT分区格式的硬盘驱动器。Clonezilla live也可以在BIOS或uEFI机器上启动。
  • 支持无人值守模式。几乎所有的步骤都可以通过命令和选项来完成。您还可以使用许多引导参数来定制您自己的映像和克隆。
  • 支持一个映像恢复到多个本地设备。
  • 镜像可以被加密。这是通过ecryptfs完成的,这是一种符合posix的企业加密堆叠文件系统。
  • Clonezilla SE支持多播,适合大规模克隆。如果您的客户端支持PXE和局域网唤醒,您也可以远程使用它来保存或恢复一堆计算机。
  • Clonezilla lite服务器支持BT (Bittorrent),适合大规模部署。BT模式的工作由Ezio完成。
  • 映像文件可以在本地磁盘、ssh服务器、samba服务器、NFS服务器或WebDAV服务器上。
  • AES-256加密可用于保护数据的访问、存储和传输。
  • 基于Partclone(默认)、Partimage(可选)、ntfsclone(可选)、dd对分区进行镜像或克隆。然而,包含其他一些程序的Clonezilla不仅可以保存和恢复分区,还可以保存和恢复整个磁盘。
  • 通过使用我们自己开发的另一款免费软件drbl-winroll,可以自动更改克隆的MS windows机器的主机名、组名和SID。

  • 支持许多文件系统:

    • (1)ext2、ext3, ext4, reiserfs, reiser4, xfs、jfs, btrfs, f2fs nilfs2 GNU / Linux,
    • (2) FAT12, FAT16, FAT32, NTFS Windows,
    • (3)HFS + Mac OS,
    • (4) UFS FreeBSD, NetBSD, OpenBSD,
    • (5) minix minix,
    • (6) VMFS3 VMFS5 VMWare ESX。

因此,无论32位(x86)操作系统还是64位(x86-64)操作系统,都可以克隆GNU/Linux、MS windows、intel Mac OS、FreeBSD、NetBSD、OpenBSD、Minix、VMWare ESX、Chrome OS/Chromium操作系统。对于这些文件系统,Partclone只保存和恢复分区中使用过的块。对于不支持的文件系统,在Clonezilla中,扇区到扇区的复制是由dd完成的。

镜像格式

  • dd(RAW)

** **

安恒windows应急取证精灵 (win)

特性

  • 支持在线或离线方式镜像
  • 可选择镜像的格式、分卷大小、储存位置、是否压缩、哈希计算方式

镜像格式

  • dd/E01/AFF
  • 支持MD5/sha1校验

Datanumen disk image (win)

特性

支持各种磁盘和驱动器。

支持Windows 95/98/ME/NT/2000/XP/Visa/7/8/8.1/10和Windows Server 2003/2008/2012/2016/2019。

支持恢复图像数据回驱动器。

支持从损坏的媒体克隆数据。

支持用指定的数据替换损坏的扇区。

支持批量克隆多个磁盘和驱动器。

理想用作计算机取证工具和电子发现(或e-discovery, eDiscovery)工具。

镜像格式

  • img

Guymager (linux)

特性:

Guymager[ˈgɪmɪdʒər]是一款免费的媒体采集取证成像仪。它的主要特点是:

•简单的用户界面在不同的语言

•在Linux下运行

•非常快,由于多线程,流水线设计和多线程数据压缩

•充分利用多处理器机器

•生成平面(dd), EWF (E01)和AFF映像,支持磁盘克隆

•免费,完全开源

最新版本是0.8.12。

镜像格式:

dd/EWF (E01)/AFF