Formato de imagen E01 (EnCase)
¿Qué es Formato de imagen E01 (EnCase)?
Formato de imagen E01 (EnCase)Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion.
El formato E01, tambien conocido como Expert Witness Compression Format (EWF), es el contenedor estandar de imagenes forenses en entornos DFIR basados en Windows. Creado por Guidance Software (hoy OpenText) para EnCase, guarda la copia bit a bit del medio origen en uno o varios segmentos numerados (E01, E02, ...) junto a metadatos del caso, nombre del examinador, hashes MD5/SHA-1 y CRC por bloque que permiten detectar manipulaciones. Admite compresion y es compatible con casi todas las suites forenses comerciales y libres como FTK, X-Ways, Autopsy y las herramientas basadas en libewf. Los investigadores lo eligen cuando la cadena de custodia, la verificacion de integridad y la interoperabilidad son prioritarias.
● Ejemplos
- 01
Adquirir un portatil sospechoso con FTK Imager y guardar la evidencia como caso01.E01, caso01.E02, ...
- 02
Montar un E01 en solo lectura con Arsenal Image Mounter para ejecutar herramientas de triaje sobre la imagen.
● Preguntas frecuentes
¿Qué es Formato de imagen E01 (EnCase)?
Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Formato de imagen E01 (EnCase)?
Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion.
¿Cómo funciona Formato de imagen E01 (EnCase)?
El formato E01, tambien conocido como Expert Witness Compression Format (EWF), es el contenedor estandar de imagenes forenses en entornos DFIR basados en Windows. Creado por Guidance Software (hoy OpenText) para EnCase, guarda la copia bit a bit del medio origen en uno o varios segmentos numerados (E01, E02, ...) junto a metadatos del caso, nombre del examinador, hashes MD5/SHA-1 y CRC por bloque que permiten detectar manipulaciones. Admite compresion y es compatible con casi todas las suites forenses comerciales y libres como FTK, X-Ways, Autopsy y las herramientas basadas en libewf. Los investigadores lo eligen cuando la cadena de custodia, la verificacion de integridad y la interoperabilidad son prioritarias.
¿Cómo defenderse de Formato de imagen E01 (EnCase)?
Las defensas contra Formato de imagen E01 (EnCase) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Formato de imagen E01 (EnCase)?
Nombres alternativos comunes: EWF, Formato Expert Witness, Imagen EnCase.
● Términos relacionados
- forensics-ir№ 289
dd (imagen de disco en bruto)
Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque.
- forensics-ir№ 644
Magnet AXIOM
Plataforma comercial DFIR de Magnet Forensics que ingiere discos, fuentes moviles y en la nube, parsea artefactos y los presenta en una interfaz unica de revision.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Suite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
- forensics-ir№ 162
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.
● Véase también
- № 153Cellebrite UFED