【イメージフォレンジック】DD画像フォーマットとE01画像フォーマットの違い(簡易版)
簡単な要約—[蘇暁夢]
記事ディレクトリ
1. 実験環境
| システム | バージョン |
|---|---|
| Windows 11 プロフェッショナル ワークステーション エディション | 22H2(22621.1555); |
| FTKイメージャー | 4.7.1.2; |
| 鏡像 | NTFS フォーマットの 2GB の空のディスク。 |
(1) DDイメージ - オリジナルイメージ(ソースディスクと同じサイズ)
DD イメージはオリジナル フォーマット (RAW イメージ) とも呼ばれ、データをビット単位でコピーし、元の証拠データと完全に一致します。
DD イメージには通常、接尾辞として .dd および .001 が付いています。
| 長所と短所 | 説明する |
|---|---|
| DDミラーリングの利点 | DD イメージの利点はその強力な互換性であり、現在、すべてのディスク イメージと分析ツールが DD 形式をサポートしています。ミラーリングが高速になります。 |
| DDミラーリングのデメリット | 圧縮しない場合、イメージ ファイルの容量は元の証拠ディスクとまったく同じになります。元の証拠ディスクのデータが非常に少ない場合でも、同じディスク容量が必要になります。(通常、ミラーイメージを保存するディスクはミラーイメージより大きい必要があります。そうしないと、キャッシュなどがある場合、元のディスクが保存ディスクと同じサイズになり、ミラーイメージを保存できない可能性があります)その中に保存されます。) |
(2) E01 イメージ圧縮イメージ (通常はソース ディスクより小さい)
E01 は、電子データフォレンジック分析ツール EnCase の証拠ファイル形式です。国内外のフォレンジック ソフトウェアは通常、E01 イメージの作成をサポートしています。通常、サフィックスは .E01 または .e01 です。
(3) 画像サイズの比較
FTK Imager を使用して E01 イメージを作成する場合は、画像の圧縮レベルの設定に注意してください。圧縮 (0 = なし、最速、1 = . . 9 = 最小)
1. ディスクデータを空にする
ただし、データが空のディスクの場合、E01 イメージは必ずしも DD イメージより小さいとは限りません (設定されている圧縮レベルを参照してください。設定されていない場合はほぼ同じですが、E01 の方がわずかに大きい場合があります)。
圧縮レベルを 9 に設定します。E01 イメージのサイズはわずか数メガバイトで、DD イメージよりもはるかに小さいため、ストレージ スペースを大幅に節約できます。(特にディスクデータの量に基づいて)
2. 空ではないディスクデータ
Su Xiaomu.E01 は、圧縮レベル 0 の空のディスク データのイメージです。
Su Xiaomu-0.E01 はデータが詰め込まれたイメージで、圧縮レベルは 0 です。
Su Xiaomu-9.E01 はデータが詰まったイメージで、圧縮レベルは 9 です。
要約する
この文章は一方的なものであり、純粋に記録保持を目的としています。間違いや脱落があれば修正していただけます。
[作品の所有権は著者蘇暁夢に帰属します。転載する場合は記事の出典を明記してください]
| 名前 | 時間 |
|---|---|
| 編集開始日 | 2023 年 4 月 19 日 |
| 最終編集日 | 2023 年 4 月 19 日 |