EWF是EnCase磁盘镜像文件的专有格式,广泛应用于计算机取证领域。这种磁盘镜像不仅可以完整保存磁盘数据,还可以保存取证操作信息和哈希校验数据。ewf-tools是Kali Linux自带的EWF文件管理工具集。该工具集不仅可以制作规范的EWF文件,还可以查看和挂载EWF文件,提并取数据。同时,该[……]
EWF镜像文件管理工具ewf-tools
发表回复
分类目录归档:磁盘镜像分析
基于文件头/尾数据恢复工具scalpel
当磁盘镜像文件没有文件分区表、超级块之类文件系统信息,就只能根据文件本身内容进行提取和恢复。大部分文件类型都有特定的文件头和文件尾,根据这些信息往往可以正确恢复数据。Kali Linux自带一款专用工具scalpel。该工具自带一个配置文件,其中包含大量文件类型的头和尾信息。根据这些信息,该工具可以[……]
AFF镜像工具集afflib-tools
Advanced Forensic Format(AFF)是一种开源免费的磁盘镜像格式。作为磁盘数字取证的三大格式之一,AFF提供数字取证的各项功能,如签名、压缩、加密等。为了便于渗透测试人员使用AFF镜像,Kali Linux预先安装了专用工具集afflib-tools。该工具集提供了AFF镜像各[……]
磁盘镜像分析工具TSK
TSK(The Sleuth Kit)是一款基于命令行的数字取证工具集,用于分析磁盘镜像。该工具支持常见的各种文件系统,如Ext2/Ext3/Ext4、Fat/exFat、HFS、NTFS、YAFS。该工具提供可以对卷系统、文件系统日志、数据单元、元数据、文件系统进行各项管理。为了方便用户使用,该工[……]