如何将E01图像文件转换为dd图像文件?

时间:2014-05-21 18:36:51

标签: dd computer-forensics diskimage

我正在使用取证工具,我有Encase E01类型的图像文件。我想通过其他工具分析这个图像。但是,诸如tsk_recover之类的工具不接受E01文件类型作为输入。所以,我需要将E01图像文件转换为dd格式而不做任何改动。

3 个答案:

答案 0 :(得分:3)

来自Access Data(http://accessdata.com/product-download)的FTK Imager是一个免费工具,可以使用多种证据文件格式(E01,DD和AD1)执行许多操作,包括以逻辑方式安装它们并将它们转换为不同的格式。

您可以使用它将E01图像转换为DD图像:

  • 使用FTK Imager打开E01
  • 右键单击左侧“证据树”中的E01文件
  • 选择“导出磁盘映像”
  • '添加'图片目的地
  • 在弹出框中选择“Raw(dd)”,然后完成向导
  • 点击开始并等待它完成,然后你将拥有你的DD图像

答案 1 :(得分:2)

如果您使用libewf(http://sourceforge.net/projects/libewf/)进行编译,则

tsk_recover(以及所有The Sleuth Kit和Autopsy工具)都支持E01。如果你想要原始图像,libewf有工具来进行转换,你可以使用' img_cat'在TSK中这样做(但它要求你在libewf中编译)。

答案 2 :(得分:1)

我个人更喜欢使用 winpmem 工具。

语法非常简单:

"winpmem_v3.3.rc3.exe -i $Source -o $Target --volume_format aff4"

-i=input;
-o=output;
--volume_format=output format

您可以将图像转换为尽可能多的可用内存格式。

虽然也可以执行合并文件:

"winpmem_v3.3.rc3.exe -i $Source1[whatever format raw, dd, etc]  -i $Source2 -o $Target --format raw"
相关问题
最新问题