Формат образа E01 (EnCase)
Что такое Формат образа E01 (EnCase)?
Формат образа E01 (EnCase)Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами.
Формат E01, также известный как Expert Witness Compression Format (EWF), де-факто является стандартным контейнером криминалистических образов в DFIR-практике на Windows. Он был создан Guidance Software (ныне OpenText) для EnCase и сохраняет побитовую копию исходного носителя в одном или нескольких пронумерованных сегментах (E01, E02, ...), вместе с метаданными дела, именем эксперта, хешами MD5/SHA-1 и поблочными CRC, позволяющими выявить подмену данных. Формат поддерживает сжатие и читается практически всеми коммерческими и открытыми криминалистическими пакетами: FTK, X-Ways, Autopsy и инструментами на базе libewf. E01 выбирают, когда важны цепочка владения, проверка целостности и совместимость между инструментами.
● Примеры
- 01
Снятие образа подозрительного ноутбука FTK Imager и сохранение как case01.E01, case01.E02, ...
- 02
Монтирование E01 в режиме только для чтения через Arsenal Image Mounter для запуска инструментов триажа.
● Частые вопросы
Что такое Формат образа E01 (EnCase)?
Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Формат образа E01 (EnCase)?
Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами.
Как работает Формат образа E01 (EnCase)?
Формат E01, также известный как Expert Witness Compression Format (EWF), де-факто является стандартным контейнером криминалистических образов в DFIR-практике на Windows. Он был создан Guidance Software (ныне OpenText) для EnCase и сохраняет побитовую копию исходного носителя в одном или нескольких пронумерованных сегментах (E01, E02, ...), вместе с метаданными дела, именем эксперта, хешами MD5/SHA-1 и поблочными CRC, позволяющими выявить подмену данных. Формат поддерживает сжатие и читается практически всеми коммерческими и открытыми криминалистическими пакетами: FTK, X-Ways, Autopsy и инструментами на базе libewf. E01 выбирают, когда важны цепочка владения, проверка целостности и совместимость между инструментами.
Как защититься от Формат образа E01 (EnCase)?
Защита от Формат образа E01 (EnCase) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Формат образа E01 (EnCase)?
Распространённые альтернативные названия: EWF, Формат Expert Witness, Образ EnCase.
● Связанные термины
- forensics-ir№ 289
dd (сырой образ диска)
Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей.
- forensics-ir№ 644
Magnet AXIOM
Коммерческая DFIR-платформа канадской Magnet Forensics: загружает данные с дисков, мобильных и облачных источников, разбирает артефакты и представляет их в едином интерфейсе анализа.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
- forensics-ir№ 388
EZ Tools Эрика Циммермана
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
● См. также
- № 153Cellebrite UFED