证据文件(evidence file),工学-公安技术-网络安全与执法-电子数据取证,从源存储介质复制生成的一个或一组文件。从该文件或文件组中存储的数据可重新创建源存储介质存储的数据比特流。国内主流的证据文件格式有原始格式证据文件、EnCase格式证据文件。国际还有一些其他证据文件格式,如AFF格式证据文件、Smart格式证据文件等。原始格式证据文件,也被称为DD镜像、RAW格式镜像,是对源存储介质进行逐比特复制并生成的一个或一组文件。原始格式证据文件与源存储介质容量完全一致。原始格式证据文件中没有额外空间用于存储元数据以及取证信息记录,源存储介质序列号、调查员姓名、哈希值等信息通常存入单独的文件。原始格式证据文件的扩展名包括dd、001、img、raw等。EnCase格式证据文件是美国电子数据取证分析软件EnCase的私有证据文件格式,最早起源于EWF(Expert Witness Format)格式,后来经过逐步演变形成了现在的证据文件格式,证据文件内部可以存储源存储介质序列号、调查员姓名、哈希值等元数据信息,支持数据压缩,可以节省存储原始格式证据文件所需的空间。