镜像格式
镜像各格式的区别
- DD镜像:也称成原始格式(RAW Image)。DD镜像 的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。也就是说DD 镜像文件不包 含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。”的文档。
- E01镜像:传统的EnCase证据文件(.E01)是法证分析工具EnCase的一个证据文件格式,较好的解决了DD镜像的一些不足。EnCase以一系列特有的压缩片段格式保存证据文件。每个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。Encase证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。E01格式最大的问题就是兼容性问题。EnCase格式是非公开的、具有知识产权的商业软件镜像格式。
- Ex01镜像:EnCase V7引进的新格式,EnCase证据文件(.Ex01)是E01的数据加密格式,设置密码后,若忘记密码则无法读取其中数据。
- L01镜像:传统的EnCase逻辑证据文件(L01)L01是仅仅对元数据中的一部分文件制作镜像的一种格式。E01及L01文件虽然也支持添加密码,但是密码仅用来限制镜像文件的打开,数据部分并未真正加密,很多取证工具可以直接忽略E01及L01文件的密码。如果需要处理的对象是整个存储设备或整个分区,应该保存成E01或Ex01格式;如果仅仅对源数据中的部分文件制作镜像,应该选择L01或Lx01格式。
- Lx01镜像:EnCase V7引进的新格式,现行的EnCase逻辑证据文件(.Lx01)Lx01是L01的数据加密格式,设置密码后,若忘记密码则无法读取其中数据。如果工作中要使用其他取证工具进行分析,为了保证兼容性,建议选择E01及L01格式,否则可以使用Ex01及Lx01格式。
- AFF镜像:针对E01和DD镜像文件的不足,AFFLIB公司于2006年推出了开源的证据文件格式AFF格式(Advanced Forensics Format)。这种格式是公开且可扩展的。和EnCase证据文件格式相似,AFF也以压缩片段的方式保存磁盘镜像,镜像文件经过压缩容量明显减小。和EnCase不同的是,AFF既可以将元数据保存在镜像文件内部,也可以同时允许元数据被单独保存在一个文件夹中。一旦发生磁盘镜像文件破损的情况,AFF的内部连续性算法也能够保证尽可能多的将破损的镜像恢复修复。AFF分段镜像可以被开源工具zlib进行压缩,也可以保持未压缩状态。对AFF压缩格式可以节省空间,但是创建时间较长,而且分析处理的速度较慢。具体采用压缩还是不采用压缩,可以根据实际情况来决定。但是未压缩的AFF文件可以很容易地再次压缩。
- img镜像:img格式是图像文件的一种格式,它具有很高的压缩效率,IMG格式支持任意大小的图像。img 图像文件格式,图像的数据是以类似二维数组格式存放的。在其第一行的头两个位置存放的是图像的宽度,其后面的两位是存放着图像的高度,接着的一个位置里存放着图像的灰度级,而其剩下的所有位置存放的都是图像的灰度。IMG格式常用于Digital Research 应用程序中。img格式属于镜像的一种,可以通过制作数据光盘或者使用虚拟光驱(如 WinMount)安装IMG数据文件。 由于.ISO只能压缩使用ISO9660和UDF这两种文件系统的存储媒介,意即.ISO只能拿来压缩CD或DVD,因此才发展出了.IMG,它是以.ISO格式为基础另外新增可压缩使用其它文件系统的存储媒介的能力,.IMG可向后兼容于.ISO,如果是拿来压缩CD或DVD,则使用.IMG和.ISO这两种格式所压缩出来的内容是一样的。img格式的打开方式可以是光盘刻录,也可以用软件解压。IMG可以做为以下用途:数字存储、传输、以及整片软盘内容的复制,可挂载到虚拟软盘上。
**
**
各产品特性对比表:
| 产品名 | 支持的系统 | 支持数据类型 | 支持镜像的格式 |
|---|---|---|---|
| EnCase Forensic Imager | win | 镜像文件(包括E01、L01、Ex01、Lx01、dd、vmdk、vhd等格式)本地连接的各种磁盘、存储卡内存数据远程数据(需要配合LinEn使用) | Ex01/Lx01/E01/L01 |
| dd/dc3dd | linux | 磁盘文件数据 | RAW |
| Getdata forensic imager | win | 获取物理,逻辑,文件夹和文件。 | E01/L01 |
| Clonezilla | win/linux | 磁盘文件数据 | RAW |
| 安恒windows应急取证精灵 | win | 支持在线或离线方式镜像可选择镜像的格式、分卷大小、储存位置、是否压缩、哈希计算方式 | dd/E01/AFF |
| Datanumen disk image | win | 支持各种磁盘和驱动器 | img |
| Guymager | linux | 支持各种磁盘和驱动器 | dd/E01/AFF |
各产品特性详情:
EnCase Forensic Imager(win)
特性
- 允许获取本地驱动器
- 可以免费下载和使用吗
- 不需要安装
- 一个独立的产品不需要装箱取证许可证吗
- 允许浏览和查看潜在的证据文件,包括文件夹结构和文件元数据
- 使用强AES 256位加密保护Lx01和Ex01文件
- 可以通过USB部署,并用于执行获取一个实时设备
EnCase Imager支持处理常见的各种数据类型:
- 镜像文件(包括E01、L01、Ex01、Lx01、dd、vmdk、vhd等格式)
- 本地连接的各种磁盘、存储卡
- 内存数据
- 远程数据(需要配合LinEn使用)
其中支持镜像文件,主要用来转换格式,以减小原镜像体积,以及添加证据编号、备注信息等各种元数据。
镜像格式
EnCase Imager可以生成四种格式的镜像
- Ex01/Lx01/E01/L01
dd/dc3dd(linux)
特性:
- linux自带免安装
压缩格式:
- RAW Image
- 可加gzip命令压缩
Getdata forensic imager (win)
特点
- 获取物理,逻辑,文件夹和文件。
- 重新获取现有的取证图像文件。
- 支持使用GetData Forensics Servlet从远程设备进行获取。
- 使用MD5,SHA1或SHA256采集哈希值获取.E01或DD格式。
- 使用完整的MD5,SHA1或SHA256文件哈希获取L01格式的文件夹和文件。
- 创建后自动验证采集哈希。
- 对整个设备成像或设置开始和结束扇区位置。
- 将图像文件分割成没有段大小限制的自定义段。
- 设置设备扇区大小以获取512、2048或4096扇区大小的选项。
- 强制将Windows兼容文件名与Magnet Forensics产品一起使用的选项。
镜像格式
- E01/L01
支持E01和L01格式的EnCase None,Fast,Good,Best压缩设置。包括E01和L01格式写入采集信息。
Clonezilla (win\linux)
特性
- 支持GNU/Linux下的LVM2 (LVM版本1不支持)。
- 可以重新安装引导加载程序,包括grub(版本1和版本2)和syslinux。
- 支持MBR和GPT分区格式的硬盘驱动器。Clonezilla live也可以在BIOS或uEFI机器上启动。
- 支持无人值守模式。几乎所有的步骤都可以通过命令和选项来完成。您还可以使用许多引导参数来定制您自己的映像和克隆。
- 支持一个映像恢复到多个本地设备。
- 镜像可以被加密。这是通过ecryptfs完成的,这是一种符合posix的企业加密堆叠文件系统。
- Clonezilla SE支持多播,适合大规模克隆。如果您的客户端支持PXE和局域网唤醒,您也可以远程使用它来保存或恢复一堆计算机。
- Clonezilla lite服务器支持BT (Bittorrent),适合大规模部署。BT模式的工作由Ezio完成。
- 映像文件可以在本地磁盘、ssh服务器、samba服务器、NFS服务器或WebDAV服务器上。
- AES-256加密可用于保护数据的访问、存储和传输。
- 基于Partclone(默认)、Partimage(可选)、ntfsclone(可选)、dd对分区进行镜像或克隆。然而,包含其他一些程序的Clonezilla不仅可以保存和恢复分区,还可以保存和恢复整个磁盘。
- 通过使用我们自己开发的另一款免费软件drbl-winroll,可以自动更改克隆的MS windows机器的主机名、组名和SID。
支持许多文件系统:
- (1)ext2、ext3, ext4, reiserfs, reiser4, xfs、jfs, btrfs, f2fs nilfs2 GNU / Linux,
- (2) FAT12, FAT16, FAT32, NTFS Windows,
- (3)HFS + Mac OS,
- (4) UFS FreeBSD, NetBSD, OpenBSD,
- (5) minix minix,
- (6) VMFS3 VMFS5 VMWare ESX。
因此,无论32位(x86)操作系统还是64位(x86-64)操作系统,都可以克隆GNU/Linux、MS windows、intel Mac OS、FreeBSD、NetBSD、OpenBSD、Minix、VMWare ESX、Chrome OS/Chromium操作系统。对于这些文件系统,Partclone只保存和恢复分区中使用过的块。对于不支持的文件系统,在Clonezilla中,扇区到扇区的复制是由dd完成的。
镜像格式
- dd(RAW)
**
**
安恒windows应急取证精灵 (win)
特性
- 支持在线或离线方式镜像
- 可选择镜像的格式、分卷大小、储存位置、是否压缩、哈希计算方式
镜像格式
- dd/E01/AFF
- 支持MD5/sha1校验
Datanumen disk image (win)
特性
支持各种磁盘和驱动器。
支持Windows 95/98/ME/NT/2000/XP/Visa/7/8/8.1/10和Windows Server 2003/2008/2012/2016/2019。
支持恢复图像数据回驱动器。
支持从损坏的媒体克隆数据。
支持用指定的数据替换损坏的扇区。
支持批量克隆多个磁盘和驱动器。
理想用作计算机取证工具和电子发现(或e-discovery, eDiscovery)工具。
镜像格式
- img
Guymager (linux)
特性:
Guymager[ˈgɪmɪdʒər]是一款免费的媒体采集取证成像仪。它的主要特点是:
•简单的用户界面在不同的语言
•在Linux下运行
•非常快,由于多线程,流水线设计和多线程数据压缩
•充分利用多处理器机器
•生成平面(dd), EWF (E01)和AFF映像,支持磁盘克隆
•免费,完全开源
最新版本是0.8.12。
镜像格式:
dd/EWF (E01)/AFF