sábado, 9 de fevereiro de 2008

Imagens Forenses IV

Montando imagens no formato Expert Witness EWF (E01)

Como você já pode acompanhar nos artigos anteriores, o formato EWF pode ser capturado através do ewfacquire ou da ferramenta Linen.

De acordo com o manual, um script Python chamado mount_ewf foi disponibilizado para poder montar a imagem no FUSE. Entretanto, esse utilitário não funcionou em nenhum dos testes que eu fiz.

Estar capacitado a montar imagens no formato ewf é interessante, pois você pode ser convidado a continuar uma investigação iniciada por uma equipe que trabalhava com o EnCase, e daí o único formato disponível pode ser o .E01.

Sem essa ferramenta estar funcionando, somente nos resta converter a imagem do formato E01 para o formato raw.

Eu fiz testes dessa ferramenta no Helix e no FCCU, ambos nas versões mais recentes. Postei esses resultados no forum do Helix e em algumas listas internacionais, mas até agora não recebi nenhuma resposta. A título de reforço, as imagens usadas foram conferidas e estão íntegras.

Você tem alguma experiência positiva nesse utilitário e poderia compartilhar nos comentários ?

Até o próximo post !

2 comentários:

Edson disse...

Caro colega,
Que ferramenta vc utiliza para converter uma imagem EWF para RAW.

Tony Rodrigues disse...

Edson,

Dê uma olhada nos utilitários ewf*, da ewflib. Eles fazem a conversão. Um deles (ewfacquire), além de fazer a aquisição da imagem em ewf, tb faz a conversão para dd. Essa lib está no Helix.

[]s
Tony