Warum ist das Encase-Festplattenabbild kleiner als der auf der Quellfestplatte belegte Speicherplatz?

532
dongle

Ich verwende ein forensisches Disk-Imaging-Tool, um ein Encase (E01) -Datenträger-Image einer 4-TB-Festplatte zu erstellen. Auf dieser Platte werden tatsächlich 3.19 TB Speicherplatz verwendet. Das resultierende Festplatten-Image hat eine Größe von 2,82 TB. Es wurden keine Komprimierungsoptionen verwendet. Warum ist das Festplattenabbild also kleiner als der belegte Speicherplatz auf der Festplatte?

Eine Hypothese von mir ist, dass das Format standardmäßig Nulldaten komprimiert. Da die Festplatte 288.137 Dateien enthält, gibt es genügend teilweise verwendete Blöcke, die zusammengenommen die Differenz von 370 GB ergeben. Dies entspräche wiederum etwa 1.284.111 Bytes pro Datei, was sich einfach nicht summiert.

Erwähnenswert ist auch, dass ich das Disk-Image "entpackt" habe und die Dateiliste zwischen dem Quell- und dem Originaldatenträger differenziert habe. Auf dem Datenträger befinden sich keine Dateien von Bedeutung, die aus dem Image ausgelassen wurden (nur einige wenige) versteckte OS X-Dateien, die wahrscheinlich nach dem Imaging-Vorgang erstellt wurden).

Irgendwelche Gedanken? Was ist los mit dem Unterschied von 370 GB?

0
Welches Disk-Imaging-Tool haben Sie zum Erstellen der Disk verwendet? Es kann hilfreich sein, sich die [EWF-Spezifikation von Joachim Metz in libewf] anzusehen (https://github.com/libyal/libewf/blob/master/documentation/Expert%20Witness%20Compression%20Format%20 (EWF) .asciidoc). für mögliche Hinweise, warum dies der Fall sein könnte. anarchivist vor 8 Jahren 0
Danke @anarchivist! Wir verwenden die Mac CLI-Version von FTK Imager dongle vor 8 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme