EnCase以一系列特有的压缩片段格式保存证据文件。每一个片段都可以在需要时被单独地调用并解压缩,因此可以实现随机地访问镜像中的数据。
Encase 证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述,并可用于将证据文件重新恢复至硬盘。E01格式最大的问题就是兼容性问题。由于EnCase格式是非公开的、具有知识产权的商业软件镜像格式。
匿名回答于2021-03-24 09:02:39
