Formato de imagem E01 (EnCase)
O que é Formato de imagem E01 (EnCase)?
Formato de imagem E01 (EnCase)Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao.
O E01, tambem conhecido como Expert Witness Compression Format (EWF), e o contentor padrao de facto para imagens forenses em fluxos DFIR em Windows. Foi criado pela Guidance Software (atual OpenText) para o EnCase e guarda a copia bit a bit do dispositivo de origem em um ou varios segmentos numerados (E01, E02, ...) junto com metadados do caso, nome do examinador, hashes MD5/SHA-1 e CRCs por bloco que detectam adulteracao. O formato suporta compressao e e lido por praticamente todas as suites forenses comerciais e open source, como FTK, X-Ways, Autopsy e ferramentas baseadas em libewf. Investigadores preferem E01 quando a cadeia de custodia, a verificacao de integridade e a interoperabilidade entre ferramentas sao essenciais.
● Exemplos
- 01
Adquirir um portatil suspeito com FTK Imager e salvar a evidencia como caso01.E01, caso01.E02, ...
- 02
Montar um E01 em somente leitura com Arsenal Image Mounter para executar ferramentas de triagem na imagem.
● Perguntas frequentes
O que é Formato de imagem E01 (EnCase)?
Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Formato de imagem E01 (EnCase)?
Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao.
Como funciona Formato de imagem E01 (EnCase)?
O E01, tambem conhecido como Expert Witness Compression Format (EWF), e o contentor padrao de facto para imagens forenses em fluxos DFIR em Windows. Foi criado pela Guidance Software (atual OpenText) para o EnCase e guarda a copia bit a bit do dispositivo de origem em um ou varios segmentos numerados (E01, E02, ...) junto com metadados do caso, nome do examinador, hashes MD5/SHA-1 e CRCs por bloco que detectam adulteracao. O formato suporta compressao e e lido por praticamente todas as suites forenses comerciais e open source, como FTK, X-Ways, Autopsy e ferramentas baseadas em libewf. Investigadores preferem E01 quando a cadeia de custodia, a verificacao de integridade e a interoperabilidade entre ferramentas sao essenciais.
Como se defender contra Formato de imagem E01 (EnCase)?
As defesas contra Formato de imagem E01 (EnCase) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Formato de imagem E01 (EnCase)?
Nomes alternativos comuns: EWF, Formato Expert Witness, Imagem EnCase.
● Termos relacionados
- forensics-ir№ 289
dd (imagem de disco bruta)
Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco.
- forensics-ir№ 644
Magnet AXIOM
Plataforma DFIR comercial da Magnet Forensics que ingere discos, fontes moveis e em nuvem, parseia artefatos e os apresenta em uma interface unica de revisao.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Conjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
● Veja também
- № 153Cellebrite UFED