鏡像存儲介質從字面理解就是存儲鏡像數據的載體,數據恢復中有一個“數據鏡像”的概念,但是這個鏡像卻是實實在在的克隆體,擁有和原來數據完全一致的外觀、屬性和“內涵”,我們稱之為“鏡像檔案”或鏡像存儲介質。
鏡像這個詞首先被用於Ghost和虛擬光碟機中,但是普通Ghost備份檔案卻算不上鏡像,最多只是檔案系統和檔案的備份集,而虛擬光碟機中的ISO檔案可以算是一種鏡像。那么,什麼是鏡像呢,它又有什麼特殊的屬性呢,
鏡像就是數據的副本,是數據在相同位置以相同排列模式生成的拷貝。
從數據的角度,鏡像和原來的數據並無差別。鏡像完全可以代替原來的數據去完成相同的工作。鏡像的屬性可以歸納以下幾點:
鏡像可以用來還原原始數據
鏡像可以代替原始數據工作
修改鏡像數據並不表示同時修改了原始數據,兩者是獨立的個體,只是內容完全相同。
基本介紹
- 中文名:鏡像存儲介質
孿生數據,鏡像檔案格式,E01,IMG,克隆也可以選擇,用鏡像來恢復自己,
孿生數據
一模一樣的數據我們當然見過,如兩個大小為1000位元組的內容全部是0的檔案就是一模一樣的,但是它們並非孿生,所為孿生,比如我們從磁碟0中的偏移0開始複製1000個位元組,並用其生成一個檔案。我們又從該處複製相同數目的位元組,生成另一個檔案。那么這兩個被生成的檔案就是孿生。當然我們也可以從磁碟生成第一個檔案,在用第一個檔案生成第二個檔案,兩個檔案都是源自一脈,這也可以叫做孿生。
鏡像檔案就是典型的孿生數據,我們為數據製作鏡像時,往往會同時製作多個,交給不同的工程師去處理,這樣無論哪個工程師首先完成任務,都相當於完成了全部任務,因為他們手中的數據完全相同。
鏡像檔案格式
實際工作中,有一些經典的鏡像檔案格式需要我們了解,常見的有E01、L01、RAW、IMG、001、XFC、DD等。這些格式中有的是複雜的壓縮鏡像格式,有些是位元組對位元組的鏡像格式,有些則兼備這兩種特性,自由度極高。
E01
E01是被法務部門廣泛認可的證據鏡像檔案。Winhex的更強大的升級版本X-Ways可以對其進行完全支持。E01是一種可壓縮、可還原、可加密、可分割、可動態解釋的特殊鏡像方式,一般套用於數據量大、保密程度很高的電子取證工作中,其壓縮比甚高卻不會影響證據的原始性(也可以不壓縮)。目前E01已經成為事實上的行業標準,各取證公司都為其做了大量的工作,從結構分析,各公司的E01鏡像略有差別。
IMG
IMG也稱為一對一鏡像、Byte To Byte鏡像、RAW鏡像,是指完全不考慮檔案系統和未使用空間,按照扇區或者位元組逐一複製而成的鏡像。生成的鏡像無論是數據內容還是數據分布方式都與其來源不會有一絲一毫的差距,此種鏡像使用最為廣泛。
克隆也可以選擇
創建磁碟鏡像是winhex最常用、最重要的功能之一,被廣泛套用於電子取證、磁碟克隆、數據備份領域。單擊“創建磁碟鏡像”,就會出現“磁碟鏡像檔案管理窗體”,注意,管理窗體所針對的操作對象就是主窗體的當前操作對象。比如我們打開的是一個分區,而且顯示在最前面的視窗正式此分區的內容,那么此時的操作對象就是該分區,我們創建的鏡像也是與該分區相關的。
“鏡像檔案格式”代表了需要創建鏡像的類型,分為原始鏡像、E01證據鏡像、WHX備份三種類型。WHX是Winhex作者自行定義的一種鏡像方式,其作用和E10相仿。
可以設定鏡像保存的路徑和名稱,注意目的分區應當保留足夠的空間容納鏡像。
還可以以扇區為單位選擇鏡像的範圍,如某硬碟前端出現大量壞扇區,如果強行進行複製不安全也花費時間,我們完全可以利用此功能從壞扇區較小的地方開始複製。
注意,“以空白位元組方式保存空餘簇”可以加快鏡像速度,但是由於跳過了未使用簇,獲得的鏡像不算完整。
可以在鏡像過程中指定一種哈希值計算算法,以便有效地取得並記錄數據的原始校驗值。
用過winrar的人對壓縮比、鏡像分割等功能都不是很陌生。壓縮比越高,生成的鏡像體積越小,但生成速度越慢。鏡像分割則是純粹為了方便光碟刻錄工作,雖然說光碟機經從“PC大件”衰退成一個可有可無的組件,但是在很多專業場合,光碟仍是存儲數字檔案的唯一方式,所以我們可以理解這種功能。
對於證據鏡像檔案,一般會在檔案前端存儲取證人員或機構的相關信息及基本描述等,Winhex作為取證家族的一員自然不會忽略了這些細節。
設定好參數後,單擊“確定”按鈕開始創建,當然創建時間的長短也和數據源物理載體的健康程度息息相關。
用鏡像來恢復自己
有鏡像製作當然就有備份還原,“恢復鏡像檔案”就是將已成型的鏡像檔案還原到磁碟中,注意,目標磁碟至少要在容量上滿足鏡像檔案解壓後的體積。
