Introdução
Eu mesmo, de forma particular, uso Linux no Trabalho, em casa e sempre onde for possível, mesmo assim, fico amarrado em algumas coisas com o Windows quando falamos em Forense…. Mas analisar o Windows por um Linux é muito útil. Hoje, me surgiu a necessidade de montar uma imagem E01 (ENCASE)…. Não queria subir a VM do Windows para tal finalidade muito menos dar boot no Windows para fazer isso, decidi entender como montar uma imagem E01 no Linux…. perdi várias horas e li muitos e muitos sites, então vamos facilitar!
Montando imagem E01
Este artigo se aplica a qualquer Linux baseando em DEBIAN. Para nossa alegria o EWFTOOL criado por Joachim Metz em 2006, não precisa ser compilado, basta um apt-get!
sudo apt-get install ewf-tools
Navegue até a localização do seu arquivo E01, conforme exemplo: e crie dois diretórios
mkdir rawimage mkdir rawmount
O primeiro que será feito, é montar a imagem com ewfmount, conforme e acessar o diretório montado:
ATENÇÃOExecute todos os comandos com ROOT (sudo) não irá funcionar!sudo su ewfmount MELIANTEDASILVA.E01 ./rawimage/ └──╼ #cd rawimage/ └──╼ #ls ewf1
Execute sfdisk na imagem para mostrar as partições na imagem.
──╼ #sfdisk -l -uS ewf1 Disk ewf1: 30 GiB, 32212254720 bytes, 62914560 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0x14a9a17a Device Boot Start End Sectors Size Id Type ewf1p1 * 2048 206847 204800 100M 7 HPFS/NTFS/exFAT ewf1p2 206848 62912511 62705664 29,9G 7 HPFS/NTFS/exFAT
Observe no output acima, os seguintes dados:
Tamanho em bytes do Setor: “512”
O inicio do Setor da partição 2 (no meu caso de investigação): “206848“
Com a ajuda de uma calculadora, multiplique 512 * 206848 = 105906176 (guarde este número)
Agora é necessário montar essa imagem RAW para uma forma legível, e apontado para o diretório /rawmount criado anteriormente, execute o seguinte comando:
losetup -a
Observe que este comando irá listar os dispositivos em loop, veja que é uma ordem sequencial 0..1…2…. veja o próximo número disponível. e execute:
losetup -r -o 105906176 /dev/loop6 ewf1
Agora, montar o disco (lembra de voltar um diretório, caso esteja ainda dentro de /rawimage/:
cd .. mount -o noexec,nodev,ro /dev/loop6 ./rawmount/
Pronto…. a sua unidade esta montada!
└──╼ #pwd /media/Meliante_da_Silva/ImagemFTK/rawmount └──╼ #ls -lha total 4,0G drwxrwxrwx 1 root root 12K abr 9 21:25 . drwxrwxrwx 1 root root 408 mai 13 19:36 .. drwxrwxrwx 1 root root 4,0K abr 9 19:43 '$Recycle.Bin' lrwxrwxrwx 2 root root 80 abr 7 15:46 'Arquivos de programa' -> '/media/Meliante_da_Silva/ImagemFTK/rawmount/Program Files' lrwxrwxrwx 2 root root 72 jul 14 2009 'Documents and Settings' -> /media/Meliante_da_Silva/ImagemFTK/rawmount/Users -rwxrwxrwx 1 root root 4,0G abr 15 09:11 pagefile.sys drwxrwxrwx 1 root root 4,0K abr 9 18:54 ProgramData drwxrwxrwx 1 root root 4,0K abr 7 16:35 'Program Files' drwxrwxrwx 1 root root 4,0K abr 9 21:14 'Program Files (x86)' drwxrwxrwx 1 root root 0 abr 7 15:46 Recovery drwxrwxrwx 1 root root 4,0K abr 16 07:18 'System Volume Information' drwxrwxrwx 1 root root 4,0K abr 9 19:43 Users drwxrwxrwx 1 root root 16K abr 9 19:50 Windows
Conclusão
Agora não preciso depender do FTK Imager para montar as unidades E01 para realizar a analise forense…. Bom proveito!
