将文件从 RAW 转换为 EWF 格式
Kaspersky Endpoint Security 以 RAW 格式保存磁盘镜像。文件也可以被压缩到存档中。特殊的 Python 脚本允许将文件从 RAW 格式转换为 EWF 格式。该脚本不断在指定文件夹中查找 RAW 文件。如果检测到此类文件,脚本会自动将文件转换为 EWF 格式。
为了使脚本正常工作,计算机上必须安装以下软件:
- 用于访问专家见证压缩格式 (EWF) 文件的 libewf 库。
libewf 库是开源软件。
建议将库文件和脚本文件放在同一文件夹中。
- Python 解释器。
要启用磁盘镜像文件的转换:
- 启动命令行解释器。
- 更改为脚本所在的文件夹。
- 运行以下命令:
py Convert_to_ewf_monitor.py --source <源文件文件夹的完整路径> [其他设置]
EWF 转换脚本参数
参数
描述
--source <文件夹的完整路径>
脚本在其中查找源文件的文件夹的完整路径。该脚本还会在指定路径的子文件夹中查找文件。这是一个强制参数。
--destination <文件夹的完整路径>
脚本在其中保存转换后的文件的文件夹的完整路径。文件夹结构被保留。默认情况下,脚本将转换后的文件保存在
源
参数中指定的文件夹中。--delete
转换成功后删除源文件。如果转换失败,脚本会跳过删除源文件,您可以重试。
--ewftool <文件夹的完整路径>
ewfacquirestream.exe 文件的完整路径。路径必须包含文件名。默认情况下,脚本尝试在脚本所在的文件夹中查找 ewfacquirestream.exe 文件。
--name_mask <正则表达式>
用于查找要转换的源文件的正则表达式。如果您需要转换单个文件,可以使用此选项。默认情况下,该脚本使用
^diskdump_
正则表达式查找文件。--convert_single_dump
找到要转换的单个文件。成功转换单个文件后,脚本退出。
--workers_num <文件数量>
脚本可以同时转换的源文件的最大数量。您可以使用此设置来优化脚本的性能。默认情况下,该脚本一次最多可以转换四个文件。
--log_level <日志级别>
记录级别。默认情况下,脚本使用 DEBUG 日志记录级别。
--log_path <文件夹的完整路径>
保存日志文件的完整路径。该路径必须包含日志文件的文件名。默认情况下,脚本在解释器控制台上显示事件。
示例:
|