Voglio prendere un'immagine forense di un disco rigido. Comunque sono un po 'confuso su quale formato dovrei prendere l'immagine. DD (grezzo) o E01? Quali sono i vantaggi e gli svantaggi di ciascuno?
Dipende da cosa vuoi fare con l'immagine dopo averla creata. Se stai usando Encase Forensic per scavare attraverso di esso, o eseguendo molte ricerche su di esso, probabilmente stai meglio andando per il formato E01, dal momento che è ottimizzato per quei casi d'uso. Ha anche incorporato il checksum, che è importante se si copiano dati su mezzi meno che ideali.
D'altra parte, se stai cercando di indagare sull'immagine usando strumenti Linux standard, puoi montare un'immagine raw e operare su di essa senza strumenti di terze parti. Tuttavia, questo è praticamente l'unico modo per operare su di esso - che diventa ingombrante con immagini più grandi.
E01 ha incorporato il supporto per la compressione, se usato con il software Encase, ma le immagini non elaborate possono essere compresse utilizzando software di terze parti (sebbene la quantità di compressione vari in modo massiccio in base al contenuto dell'immagine). I file E01 possono anche contenere metadati, che è utile quando si desidera aggiungere note, ad esempio, ai file eliminati.
Un buon posto dove cercare informazioni su strumenti e software legali è Forensics Wiki - che ha una lista di diversi formati di file e dei loro pro e contro.
Leggi altre domande sui tag forensics