dd镜像、e01镜像、aff镜像
2页
DD镜像、E01镜像、AFF镜像DD镜像:也称成原始格式(RAW Image)。DD镜像 的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有压缩,镜像速度较快。DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。DD镜像是对嫌疑硬盘进行位对位的复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。也就是说DD 镜像文件不包 含文件头和校验值。相关数据信息可以配合以txt文本形式文件进行描述。E01镜像:是法证分析工具EnCase的一个证据文件格式,较好地解决了DD镜像的一些不足。EnCase以一系列特有的压缩片段格式保存证据文件。每一个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。Encase 证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。E01格式最大的问题就是兼容性问题。由于EnCase格式是非公开的、具有知识产权的商业软件镜像格式。AFF镜像:针对E01和DD镜像文件的不足, AFFLIB公司于2006年推出了开源的证据文件格式AFF格式(Advanced Forensics Format )。这种格式是公开而且可扩展的。和EnCase证据文件格式相似,AFF也以压缩片段的方式保存磁盘镜像,镜像文件经过压缩容量明显减小。和EnCase不同的是,AFF 既可以将元数据保存在镜像文件内部,也同时允许元数据被单独保存在一个文件中。一旦发生磁盘镜像文件破损的情况,AFF的内部连续性算法也能够保证尽可能多地将破损的恢复镜像修复。 AFF 分段镜像可以被开源工具zlib进行压缩,也可以保持未压缩状态。对AFF压缩格式可以节省空间,但是创建时间较长,而且分析处理的速度较慢。具体采用压缩还是不采用压缩,可以根据实际情况来决定。但是未压缩的AFF文件可以很容易地再次压缩。
《dd镜像、e01镜像、aff镜像》由会员小**分享,可在线阅读,更多相关《dd镜像、e01镜像、aff镜像》请在金锄头文库上搜索。
2020年高考真题——理科综合(全国卷Ⅲ)+Word版含答案
2021年绝味鸭脖策划书
2021年熟食店创业方案
2021年熟食店开店策划
2021年卤菜店创业计划书
2021年周黑鸭网络营销策划方案
东大21年1月考试《现代设计方法》考核作业
谈我国行政管理效率的现状及其改观对策(论文)
单证员考试-备考辅导-复习资料:无贸易背景信用证案分析.docx
土木工程毕业生答辩自述.docx
建筑学毕业后工作状态真实写照.doc
C#代码规范(湖南大学).doc
xx区食药监局2019年工作总结及2020年工作计划
2019年中医院药物维持治疗门诊工人先锋号先进事迹
2019年度xx乡镇林长制工作总结
2019年性艾科工作计划书
2019年人才服务局全国扶贫日活动开展情况总结
关于组工信息选题的几点思考
摘了穷帽子 有了新模样
2019年某集团公司基层党支部书记培训班心得体会
09.石油公司制度体系诊断及优化咨询项目
2024-04-08 33页
职工教育培训经费管理办法(规模生产制造业版)
2024-04-08 10页
08.圆通银行战略咨询项目
2024-04-08 25页
企业培训费管理实施暂行细则
2024-04-08 12页
职工教育培训经费管理办法(适合中小企业)
2024-04-08 10页
企业规章制度框架体系管理规定(2024修订版)
2024-04-08 21页
05.景宏集团全面管理提升咨询项目
2024-04-08 40页
07.玉兔食品集团供应链咨询项目
2024-04-08 34页
04.大华乳业业务战略咨询项目
2024-04-08 28页
06.德邦公司精益生产管理咨询项目
2024-04-08 28页