Format d'image E01 (EnCase)
Qu'est-ce que Format d'image E01 (EnCase) ?
Format d'image E01 (EnCase)Format d'image forensique introduit par Guidance Software pour EnCase, qui stocke la copie acquise dans des fichiers segmentes et compresses avec metadonnees et sommes de controle.
Le format E01, aussi appele Expert Witness Compression Format (EWF), est le conteneur d'images forensiques de facto dans les workflows DFIR sous Windows. Cree par Guidance Software (devenu OpenText) pour EnCase, il enregistre la copie bit a bit du support source dans un ou plusieurs segments numerotes (E01, E02, ...) avec les metadonnees du dossier, le nom de l'examinateur, les empreintes MD5/SHA-1 et des CRC par bloc qui detectent toute alteration. Le format gere la compression et est pris en charge par presque toutes les suites forensiques commerciales et open source : FTK, X-Ways, Autopsy ou les outils bases sur libewf. Les enqueteurs le privilegient lorsque chaine de possession, integrite et interoperabilite sont essentielles.
● Exemples
- 01
Acquerir un portable suspect avec FTK Imager et sauvegarder la preuve en case01.E01, case01.E02, ...
- 02
Monter un E01 en lecture seule avec Arsenal Image Mounter pour lancer des outils de triage sur l'image.
● Questions fréquentes
Qu'est-ce que Format d'image E01 (EnCase) ?
Format d'image forensique introduit par Guidance Software pour EnCase, qui stocke la copie acquise dans des fichiers segmentes et compresses avec metadonnees et sommes de controle. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Format d'image E01 (EnCase) ?
Format d'image forensique introduit par Guidance Software pour EnCase, qui stocke la copie acquise dans des fichiers segmentes et compresses avec metadonnees et sommes de controle.
Comment fonctionne Format d'image E01 (EnCase) ?
Le format E01, aussi appele Expert Witness Compression Format (EWF), est le conteneur d'images forensiques de facto dans les workflows DFIR sous Windows. Cree par Guidance Software (devenu OpenText) pour EnCase, il enregistre la copie bit a bit du support source dans un ou plusieurs segments numerotes (E01, E02, ...) avec les metadonnees du dossier, le nom de l'examinateur, les empreintes MD5/SHA-1 et des CRC par bloc qui detectent toute alteration. Le format gere la compression et est pris en charge par presque toutes les suites forensiques commerciales et open source : FTK, X-Ways, Autopsy ou les outils bases sur libewf. Les enqueteurs le privilegient lorsque chaine de possession, integrite et interoperabilite sont essentielles.
Comment se défendre contre Format d'image E01 (EnCase) ?
Les défenses contre Format d'image E01 (EnCase) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Format d'image E01 (EnCase) ?
Noms alternatifs courants : EWF, Format Expert Witness, Image EnCase.
● Termes liés
- forensics-ir№ 289
dd (image disque brute)
Copie plate, bit a bit, d'un peripherique de stockage produite par l'utilitaire Unix dd (ou des outils compatibles), sans compression, metadonnees ni hash par bloc.
- forensics-ir№ 644
Magnet AXIOM
Plateforme DFIR commerciale de Magnet Forensics qui ingere des disques, des sources mobiles et cloud, parse les artefacts et les presente dans une interface unifiee de revue.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable.
- forensics-ir№ 388
EZ Tools d'Eric Zimmerman
Suite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies.
- forensics-ir№ 162
Chaîne de possession
Traçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.
● Voir aussi
- № 153Cellebrite UFED