Kaspersky Anti Targeted Attack (KATA) Platform

Конвертация файла из формата RAW в формат EWF

14 мая 2024

ID 248750

Kaspersky Endpoint Security сохраняет образ диска в формате RAW. Также файлы могут быть помещены в архив. Для конвертации файлов из формата RAW в формат EWF разработан специальный скрипт на языке Python. Скрипт постоянно выполняет поиск файлов в формате RAW в заданной папке. При обнаружении таких файлов скрипт автоматически конвертирует файлы в формат EWF.

Скрипт convert_to_ewf_monitor.py

Для работы скрипта на компьютере должно быть установлено следующее ПО:

  • Библиотека для доступа к файлам Expert Witness Compression Format (EWF) – libewf.

    Библиотеке libewf является ПО с открытым кодом.

    Рекомендуется разместить файлы библиотеки и файл скрипта в одной папке.

  • Интерпретатор Python.

Чтобы включить конвертацию файлов образов дисков:

  1. Запустите интерпретатор командной строки.
  2. Перейдите в папку, в которой расположен скрипт.
  3. Выполните команду:

    py convert_to_ewf_monitor.py --source <full path to the source files folder> [additional settings]

    Параметры скрипта конвертации в EWF

    Параметр

    Описание

    --source <full path to folder>

    Полный путь к папке, в которой скрипт выполняет поиск исходных файлов. Скрипт также выполняет поиск файлов в подпапках по указанному пути. Это обязательный параметр.

    --destination <full path to folder>

    Полный путь к папке, в которую скрипт сохраняет сконвертированные файлы. При этом структура папок сохраняется. По умолчанию скрипт сохраняет сконвертированные файлы в папке, которая указана для параметра source.

    --delete

    Удаление исходных файлов после успешной конвертации. Если сконвертировать файлы не удалось, скрипт пропустит удаление исходных файлов, и вы сможете повторить попытку.

    --ewftool <full path to folder>

    Полный путь к файлу ewfacquirestream.exe. Путь следует указывать с названием файла. По умолчанию скрипт пытается обнаружить файл ewfacquirestream.exe в папке, в которой расположен сам скрипт.

    --name_mask <regular expressions>

    Регулярные выражения для поиска исходных файлов для конвертации. Вы можете использовать этот параметр, если вам нужно конвертировать отдельные файлы. По умолчанию скрипт выполняет поиск с помощью регулярного выражения ^diskdump_.

    --convert_single_dump

    Поиск одного файла для конвертации. После успешной конвертации одного файла скрипт завершает свою работу.

    --workers_num <number of files>

    Максимальное количество исходных файлов, которое скрипт может конвертировать одновременно. С помощью этого параметра вы можете оптимизировать производительность скрипта. По умолчанию скрипт может конвертировать до четырех файлов одновременно.

    --log_level <log level>

    Уровень ведения журнала. По умолчанию скрипт ведет журнал DEBUG.

    --log_path <full path to folder>

    Полный путь для сохранения файлов журнала. Путь следует указывать с названием файла журнала. По умолчанию скрипт показывает события в консоли интерпретатора.

Пример:

PS D:\Folder\Script\> py convert_to_ewf_monitor.py --source E:/Folder --destination E:/EWF --delete --log_path E:/Folder/Logs.txt

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!