Конвертация файла из формата RAW в формат EWF

Kaspersky Endpoint Security сохраняет образ диска в формате RAW. Также файлы могут быть помещены в архив. Для конвертации файлов из формата RAW в формат EWF разработан специальный скрипт на языке Python. Скрипт постоянно выполняет поиск файлов в формате RAW в заданной папке. При обнаружении таких файлов скрипт автоматически конвертирует файлы в формат EWF.

Скрипт convert_to_ewf_monitor.py

Для работы скрипта на компьютере должно быть установлено следующее ПО:

Библиотека для доступа к файлам Expert Witness Compression Format (EWF) – libewf.
Библиотеке libewf является ПО с открытым кодом.

Рекомендуется разместить файлы библиотеки и файл скрипта в одной папке.
Интерпретатор Python.

Чтобы включить конвертацию файлов образов дисков:

Запустите интерпретатор командной строки.
Перейдите в папку, в которой расположен скрипт.

Выполните команду:

py convert_to_ewf_monitor.py --source <full path to the source files folder> [additional settings]

Параметры скрипта конвертации в EWF

Параметр	Описание
`--source <full path to folder>`	Полный путь к папке, в которой скрипт выполняет поиск исходных файлов. Скрипт также выполняет поиск файлов в подпапках по указанному пути. Это обязательный параметр.
`--destination <full path to folder>`	Полный путь к папке, в которую скрипт сохраняет сконвертированные файлы. При этом структура папок сохраняется. По умолчанию скрипт сохраняет сконвертированные файлы в папке, которая указана для параметра `source`.
`--delete`	Удаление исходных файлов после успешной конвертации. Если сконвертировать файлы не удалось, скрипт пропустит удаление исходных файлов, и вы сможете повторить попытку.
`--ewftool <full path to folder>`	Полный путь к файлу ewfacquirestream.exe. Путь следует указывать с названием файла. По умолчанию скрипт пытается обнаружить файл ewfacquirestream.exe в папке, в которой расположен сам скрипт.
`--name_mask <regular expressions>`	Регулярные выражения для поиска исходных файлов для конвертации. Вы можете использовать этот параметр, если вам нужно конвертировать отдельные файлы. По умолчанию скрипт выполняет поиск с помощью регулярного выражения `^diskdump_`.
`--convert_single_dump`	Поиск одного файла для конвертации. После успешной конвертации одного файла скрипт завершает свою работу.
`--workers_num <number of files>`	Максимальное количество исходных файлов, которое скрипт может конвертировать одновременно. С помощью этого параметра вы можете оптимизировать производительность скрипта. По умолчанию скрипт может конвертировать до четырех файлов одновременно.
`--log_level <log level>`	Уровень ведения журнала. По умолчанию скрипт ведет журнал DEBUG.
`--log_path <full path to folder>`	Полный путь для сохранения файлов журнала. Путь следует указывать с названием файла журнала. По умолчанию скрипт показывает события в консоли интерпретатора.

Пример:

PS D:\Folder\Script\> py convert_to_ewf_monitor.py --source E:/Folder --destination E:/EWF --delete --log_path E:/Folder/Logs.txt

В начало