Идея проста - для каждого сектора на загрузочном диске, например на CD, поддерживается его "живая" копия, то есть двойник в оперативной памяти или на диске, на который разрешена запись. Пока сектор только читается, система просто возвращает данные с носителя обычным образом. Если же сектор записывается - EWF перехватывает эту операцию, создает образ сектора на перезаписываемом носителе (эта область называется оверлеем), и сектор помечается как "живой". Дальнейшие операции чтения приведут к обращениям к этой копии, не к данным на диске. Можно сказать, что этот подход представляет собой "файл подкачки наоборот", то есть, если файл подкачки эмулирует оперативную память, то в данном случае память эмулирует дисковый накопитель.
Социальные закладки