Montando imagens no formato Expert Witness EWF (E01)
Como você já pode acompanhar nos artigos anteriores, o formato EWF pode ser capturado através do ewfacquire ou da ferramenta Linen.
De acordo com o manual, um script Python chamado mount_ewf foi disponibilizado para poder montar a imagem no FUSE. Entretanto, esse utilitário não funcionou em nenhum dos testes que eu fiz.
Estar capacitado a montar imagens no formato ewf é interessante, pois você pode ser convidado a continuar uma investigação iniciada por uma equipe que trabalhava com o EnCase, e daí o único formato disponível pode ser o .E01.
Sem essa ferramenta estar funcionando, somente nos resta converter a imagem do formato E01 para o formato raw.
Eu fiz testes dessa ferramenta no Helix e no FCCU, ambos nas versões mais recentes. Postei esses resultados no forum do Helix e em algumas listas internacionais, mas até agora não recebi nenhuma resposta. A título de reforço, as imagens usadas foram conferidas e estão íntegras.
Você tem alguma experiência positiva nesse utilitário e poderia compartilhar nos comentários ?
Até o próximo post !
2 comentários:
Caro colega,
Que ferramenta vc utiliza para converter uma imagem EWF para RAW.
Edson,
Dê uma olhada nos utilitários ewf*, da ewflib. Eles fazem a conversão. Um deles (ewfacquire), além de fazer a aquisição da imagem em ewf, tb faz a conversão para dd. Essa lib está no Helix.
[]s
Tony
Postar um comentário