如何将E01图像文件转换为dd图像文件？

Question

我在取证工具上工作，我有封装E01类型的图像文件。我想用其他工具来分析这张图片。但是，像tsk_recover这样的工具不接受E01文件类型作为输入。因此，我需要将E01图像文件转换为dd格式而不做任何更改。

Answer 1

如果使用libewf (http://sourceforge.net/projects/libewf/)进行编译，tsk_recover (以及所有侦测工具包和自动检测工具)都支持E01。如果你想要原始图像，libewf有一些工具可以进行转换，你可以使用TSK中的'img_cat‘来完成(但它需要你在libewf中编译)。

Answer 2

FTK Imager from Access Data (http://accessdata.com/product-download)是一个免费的工具，可以用几种证据文件格式(E01、DD和AD1)做许多事情，包括从逻辑上挂载它们并将它们转换为不同的格式。

您可以通过以下方式使用它将E01映像转换为DD映像：

在弹出框中用FTK Imager

• Right-clicking打开磁盘文件中的FTK Tree'

• Selecting E01导出磁盘映像‘

• ’添加‘Image Destination

• Select’原始( DD )‘，然后完成向导

• 单击start并等待其完成，然后您将拥有DD image

Answer 3

我个人更喜欢使用的winpmem工具。

语法非常简单：

"winpmem_v3.3.rc3.exe -i $Source -o $Target --volume_format aff4"

-i=input;
-o=output;
--volume_format=output format

您可以将图像转换为尽可能多的不同可用内存格式。

在合并文件时，还可以执行以下操作：

"winpmem_v3.3.rc3.exe -i $Source1[whatever format raw, dd, etc]  -i $Source2 -o $Target --format raw"