0

我正在研究取证工具,我有 Encase E01 类型的图像文件。我想用其他工具分析这张图片。但是,诸如 tsk_recover 之类的工具不接受 E01 文件类型作为输入。所以,我需要将 E01 图像文件转换为 dd 格式而不做任何更改。

4

3 回答 3

5

Access Data ( http://accessdata.com/product-download ) 的 FTK Imager 是一款免费工具,可以使用多种证据文件格式(E01、DD 和 AD1)执行许多操作,包括逻辑安装它们并将它们转换为不同的格式。

您可以使用它将 E01 图像转换为 DD 图像,方法是:

  • 使用 FTK 成像仪打开 E01
  • 右键单击左侧“证据树”中的 E01 文件
  • 选择“导出磁盘映像”
  • “添加”图像目标
  • 在弹出框中选择“Raw (dd)”,然后完成向导
  • 点击开始并等待它完成,然后你就会有你的 DD 图像
于 2015-11-24T18:30:40.317 回答
3

如果您使用 libewf ( http://sourceforge.net/projects/libewf/ ) 编译 tsk_recover (以及所有 The Sleuth Kit 和 Autopsy 工具) 支持 E01。如果你想要原始图像,libewf 有工具来进行转换,你可以在 TSK 中使用“img_cat”来完成它(但它需要你在 libewf 中编译)。

于 2014-05-22T15:39:34.073 回答
1

我个人更喜欢为此使用winpmem工具。

语法非常简单:

"winpmem_v3.3.rc3.exe -i $Source -o $Target --volume_format aff4"

-i=input;
-o=output;
--volume_format=output format

您可以将图像转换为尽可能多的不同可用内存格式。

同时也可以执行合并文件:

"winpmem_v3.3.rc3.exe -i $Source1[whatever format raw, dd, etc]  -i $Source2 -o $Target --format raw"
于 2020-09-07T18:24:29.963 回答