Kaspersky Endpoint Security 以 RAW 格式保存磁盘镜像。文件也可以被压缩到存档中。特殊的 Python 脚本允许将文件从 RAW 格式转换为 EWF 格式。该脚本不断在指定文件夹中查找 RAW 文件。如果检测到此类文件,脚本会自动将文件转换为 EWF 格式。
为了使脚本正常工作,计算机上必须安装以下软件:
libewf 库是开源软件。
建议将库文件和脚本文件放在同一文件夹中。
要启用磁盘镜像文件的转换:
py Convert_to_ewf_monitor.py --source <源文件文件夹的完整路径> [其他设置]
EWF 转换脚本参数
参数 |
描述 |
|---|---|
|
脚本在其中查找源文件的文件夹的完整路径。该脚本还会在指定路径的子文件夹中查找文件。这是一个强制参数。 |
|
脚本在其中保存转换后的文件的文件夹的完整路径。文件夹结构被保留。默认情况下,脚本将转换后的文件保存在 |
|
转换成功后删除源文件。如果转换失败,脚本会跳过删除源文件,您可以重试。 |
|
ewfacquirestream.exe 文件的完整路径。路径必须包含文件名。默认情况下,脚本尝试在脚本所在的文件夹中查找 ewfacquirestream.exe 文件。 |
|
用于查找要转换的源文件的正则表达式。如果您需要转换单个文件,可以使用此选项。默认情况下,该脚本使用 |
|
找到要转换的单个文件。成功转换单个文件后,脚本退出。 |
|
脚本可以同时转换的源文件的最大数量。您可以使用此设置来优化脚本的性能。默认情况下,该脚本一次最多可以转换四个文件。 |
|
记录级别。默认情况下,脚本使用 DEBUG 日志记录级别。 |
|
保存日志文件的完整路径。该路径必须包含日志文件的文件名。默认情况下,脚本在解释器控制台上显示事件。 |
示例:
|