Kaspersky Endpoint Security 以 RAW 格式儲存磁碟映像。檔案也可以被壓縮到壓縮檔案中。特殊的 Python 指令碼允許將檔案從 RAW 格式轉換為 EWF 格式。該指令碼不斷在指定資料夾中尋找 RAW 檔案。如果偵測到此類檔案,指令碼會自動將檔案轉換為 EWF 格式。
為了使指令碼正常工作,電腦上必須安裝以下軟體:
libewf 庫是開源軟體。
建議將庫檔案和指令碼檔案放在同一資料夾中。
若要啟用磁碟映像檔的轉換:
py Convert_to_ewf_monitor.py --source <來源檔案資料夾的完整路徑> [其他設定]
EWF 轉換指令碼參數
參數 |
敘述 |
|---|---|
|
指令碼在其中尋找來源檔案的資料夾的完整路徑。該指令碼也會在指定路徑的子資料夾中尋找檔案。這是一個強制參數。 |
|
指令碼在其中儲存轉換後的檔案的資料夾的完整路徑。資料夾結構被保留。預設情況下,指令碼將轉換後的檔案儲存在 |
|
轉換成功後刪除來源檔案。如果轉換失敗,指令碼會跳過刪除來源檔案,您可以重試。 |
|
ewfacquirestream.exe 檔案的完整路徑。路徑必須包含檔案名稱。預設情況下,指令碼嘗試在指令碼所在的資料夾中尋找 ewfacquirestream.exe 檔案。 |
|
用於尋找要轉換的來源檔案的正規表達式。如果您需要轉換單個檔案,可以使用此選項。預設情況下,該指令碼使用 |
|
找到要轉換的單個檔案。成功轉換單個檔案後,指令碼結束。 |
|
指令碼可以同時轉換的來源檔案的最大數量。您可以使用此設定來最佳化指令碼的效能。預設情況下,該指令碼一次最多可以轉換四個檔案。 |
|
記錄級別。預設情況下,指令碼使用DEBUG 日誌記錄等級。 |
|
儲存日誌檔案的完整路徑。該路徑必須包含日誌檔案的檔案名稱。預設情況下,指令碼在解釋器主控台上顯示事件。 |
範例:
|