Как я могу преобразовать файл изображения E01 в файл изображения dd?

FTK Imager из Access Data ( http://accessdata.com/product-download) - это бесплатный инструмент, который может многое сделать с несколькими форматами файлов улик (E01, DD и AD1), включая их логическое монтирование и преобразование в разные форматы.

Вы можете использовать его для преобразования изображения E01 в изображение DD:

• Открытие E01 с помощью FTK Imager
• Щелчок правой кнопкой мыши по файлу E01 в левом "дереве доказательств"
• Выбор "Экспорт образа диска"
• Добавить изображение
• Выберите "Raw (dd)" во всплывающем окне и завершите работу мастера
• Нажмите начало и дождитесь его окончания, тогда у вас будет изображение DD

Лично я предпочитаю использовать для этого инструмент winpmem.

Синтаксис очень простой:

"winpmem_v3.3.rc3.exe -i $Source -o $Target --volume_format aff4"

-i=input;
-o=output;
--volume_format=output format

Вы можете конвертировать изображения в любое количество доступных форматов памяти.

При объединении файлов также можно выполнить:

"winpmem_v3.3.rc3.exe -i $Source1[whatever format raw, dd, etc]  -i $Source2 -o $Target --format raw"

Вы можете использоватьxmountдля виртуального преобразования файла E01 в файл необработанного изображения. После этого вы уже сможете прочитать его как необработанное изображение, фактически не занимая дисковое пространство для необработанного изображения. Если вам нужно необработанное изображение в виде физического файла, вы можете просто скопировать виртуальный файл туда, где он вам нужен.

Пример:

1. Создайте каталог для виртуального необработанного образа:

           mkdir /tmp/mnt
   

2. Смонтируйте файл E01 практически как файл необработанного образа:

           xmount --in ewf --out raw image.e01 /tmp/mnt
   

3. Теперь вы можете работать с виртуальным необработанным изображением или скопировать его:

           cp /tmp/mnt/image.dd /to/somewhere/else/image.dd
   

4. Размонтируйте виртуальный необработанный образ:

           umount /tmp/mnt