专家证人格式 ⇐ 文章草稿

[Anonymous]

“专家证人格式''（“”''ewf''）是一个与包含包含法医套件相关的磁盘图像的集装箱格式的家族。最著名的成员是“” .E01''，这是一个bitstream（“法医”）图像，该图像将逐步数据与元数据和固定性信息一起存储。 EWF支持压缩，每块校验和多段图像（例如，``.e01``，``.e02`…后来的变体包括''.ex01''''（bitstream）和'''.lx01'''（逻辑证据）在Encase的“证据文件格式版本2”下。 | title =专家证人磁盘图像格式（EWF）家庭
| url = https：//www.loc.gov/preservation/digital/format ... 0406.shtml
|网站=国会图书馆 - 数字格式的可持续性
|日期= 2015年2月24日
|访问日期= 2025年9月8日
| title =专家证人磁盘图像，Encase E01 bitstream
| url = https：//www.loc.gov/preservation/digital/format ... 0408.shtml
|网站=国会图书馆 - 数字格式的可持续性
|日期= 2015年2月23日
|访问日期= 2025年9月8日
| title =专家证人磁盘图像，ENCASE EX01 BITSTREAM
| url = https：//www.loc.gov/preservation/digital/format ... 0410.shtml
|网站=国会图书馆 - 数字格式的可持续性
|日期= 2015年2月23日
|访问日期= 2025年9月8日
< /ref>

==历史==
EWF起源于1990年代末/2000年代初，作为Encase的一部分；相关格式也由ASR数据（“智能”）产生。 Encase子形式的公共技术描述在很大程度上基于Joachim Metz和Joachim Metz和“开放源”的“ libewf”“''”项目，该项目记录了第一代EWF（e01/l01/l01）和第二个evfffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffe ex/refff 2 evff 2（evff 2 evff 2 ev fefff 2 ex every。 | title =专家证人压缩格式（EWF） - 规范
| url = https：//github.com/libyal/libewf/blob/main/documentation/expert%20witness%20compression%20 format%20; |网站= github（libewf）
|日期= 2006–2023
|访问日期= 2025年9月8日
| title =专家证人压缩格式版本2（EWF2） - 规格
| url = https：//github.com/libyal/libewf/blob/main/documentation/expert%20witness%20compression%20Compression%20Format%202%202%20%28EWF2%299.asciidoc
|网站= github（libewf）
|日期= 2012–2023
|访问日期= 2025年9月8日
< /ref>

==设计和功能==
EWF将磁盘图像数据和元数据存储在具有每节固定性的指定部分（通常为Adler-32）。数据通常被压缩到固定尺寸的块（共同实现中的32 KIB）中，以支持随机访问。 EWF图像可以分为编号的段，具有可管理性，并且可以包括高级固定性，例如MD5（以及以后版本的SHA-1）。

=== e01（bitstream）===
The first-generation EnCase bitstream format, '''.E01''', offers three compression levels (“no”, “good”, “best”) and uses a 13-section structure (e.g., ''Header'', ''Volume'', ''Table'', ''Data'', ''Hash'', ''Digest'').典型的段命名为``.e01`…``.e99````魔术字节以``evf'。
开头
=== L01（逻辑证据）===
逻辑证据文件（''''l01''）包装所选文件及其属性（文件名，时间戳，大小，权限，路径，MD5等）进行证据交换。 L01与E01共享大多数部分，但添加了“ ltree”和“ ltypes”（总计15个部分）。 | title =专家证人磁盘图像，Encase L01逻辑
| url = https：//www.loc.gov/preservation/digital/format ... 0409.shtml
|网站=国会图书馆 - 数字格式的可持续性
|日期= 2015年2月23日
|访问日期= 2025年9月8日
< /ref>

=== EX01和LX01（证据文件格式版本2）===
Encase 7引入了第二代'''ex01''（bitstream）和'''lx01''（逻辑）格式。 EWF2使用BZIP2或LZ/DEFLATE-FAMILY压缩，并定义20个部分（包括案例数据，扇区表，误差表，单文件表以及单独的MD5和SHA-1部分）。应用程序通常实现压缩或未压缩的模式（实际上通常无法使用“无压缩”）。

==工具和支持==
开源的'''''''''''''''''''''''ewfacquire''，''ewfverify''，''ewfexport'）提供了对E01/L01和EWF2 EX01/LX01的读/写入访问，并通过分析套房和Linux分布量广泛使用。 | title = libewf - 专家证人格式的法医库
| url = https：//forensics.wiki/libewf/
|网站= forensics.wiki
|访问日期= 2025年9月8日
法医语料库和工作流通常将E01转换为RAW（''dd''），以与侦探套件这样的工具使用；例如，Digital Corpora记录了使用“ Ewfexport”的转换'。 | title =格式转换（RAW，E01，AFF）
| url = https：//digitalcorpora.org/corpora/disk-images/format-conversion/
|网站= Digital Corpora
|访问日期= 2025年9月8日
< /ref> ewf在执法和档案环境中广泛采用，并在诸如FTK Imager和BitCurator之类的工具中支持。

==文件签名和标识符==
*** e01 **：魔术字节`45 56 46 09 0d 0a ff 00`` 1. ** fmt /803 **。
*** l01 **：魔术字节``4C 56 46 09 0d 0a ff 00`` 1. ** fmt/804 **。 | title =专家证人磁盘图像，Encase L01逻辑 - 指示符
| url = https：//www.loc.gov/preservation/digital/format ... 0409.shtml
|网站=国会图书馆 - 数字格式的可持续性
|日期= 2015年2月23日
|访问日期= 2025年9月8日
< /ref>
*** ex01 **：魔术字节``45 56 46 32 0d 0a 81 00`` Anomen PUID：未分配（每个LOC条目）。

==加密和保护==
一些采集工具在使用EWF扩展时（例如，FTK成像仪中的AES-256选项或包含法医成像仪）时可以生成加密的容器；功能因子和工具而异。

==另请参见==
*高级法医格式
*原始图像格式
*侦探套件
*尸检（软件）|尸检

* * * * * *