Montando imagens no formato Advanced Forensic Format (aff)
O formato aff é disponibilizado pela Afflib. Essa lib instala vários utilitários, inclusive já comentamos sobre alguns nesse grupo de artigos sobre imagens forenses.
Para montar uma imagem .aff, usamos o utilitário affuse:
# affuse imagem.aff /mounting/point
onde:
imagem.aff é a imagem no formato AFF
/mounting/point é o mounting point, que já deverá estar criado.
Esse comando cria um no diretório /mounting/point um arquivo no formato raw chamado imagem.aff.raw, e a partir daí, é só montar usando o comando mount, como indicamos nos artigos anteriores.
O bacana dessa solução é que esse arquivo raw criado não ocupa espaço. Na verdade, isso é uma visualização provida pelo utilitário e pelo FUSE. Note bem, isso não é a mesma coisa que converter o arquivo .aff para um .raw. Verifique por si mesmo !
Para não dizer que tudo são flores, o affuse do Helix não funciona. Isso vale para as versões 1.9 e 1.9a do Helix. Isso acontece porque uma das dependências da afflib não estava instalada no Helix no momento de sua compilação, o que faz com que o affuse não funcione.
Como ele funciona muito bem no FCCU, uma das possibilidades é copiar o affuse do disco do FCCU para um pendrive ou HD externo formatado com ext2 ou ext3. Daí, quando estiver usando o Helix, você poderá chamar o affuse desse dispositivo que tudo funcionará normalmente.
Isso deve servir como solução de contorno até que o problema seja corrigido na próxima versão do Helix.
Até o próximo post !
Nenhum comentário:
Postar um comentário