In deze tutorial ga ik uitleggen hoe je met behulp van het programma libewf encase images kan mounten. En dit daarna kan onderzoeken. Dit kan van pas komen.

libewf is een tool voor Linux. Met deze kun je verschillende formaten images maken. De volgende images kan je maken:
-ewf
-smart
-ftk
-encase1
-encase2
-encase3
-encase4
-encase5
-encase6
-linen5
-linen6
-ewfx

Libewf is hier te downloaden: To view this link please Register

De installatie is vrij simpel:
./configure
make
make install
Daarna ldconfig (in Ubuntu 8.10) zodat hij vanaf overal aan te roepen is.

Met 2 tools kan je de images maken. dat zijn ewfacquire en ewfacquirestream. Het verschil is dat je bij ewfacquire vragen krijgt van waar destination etc.. en bij ewfacquirestream kan je dit meegevens al parameters. Dit is handig als je ewfacquire wilt aanroepen bij scripts met altijd dezelfde instellingen.

Dus als ik een kopie wil maken van mijn /dev/sdb1 dan type ik het commando: ewfacquire /dev/sdb1/ <enter> .. nu krijg ik vragen die ik moet beantwoorden en dan start het imagen.

Het gebruik van ewfacquire spreekt vrij wel voor zichzelf. Je beantwoord gewoon de vragen die het programma je stelt en dan wordt de image gemaakt. Dit gaat vrij snel. Ewfacquire is sneller dan Linen in linux. Een kopie maken met linen duurde zoon 2.5 uur en met ewfacquire maar 1 uur.

Nu kan je de image gaan mounten. Hiervoor heb je een apart scriptje nodig wat in python is geschreven. Deze is ook te downloaden op die uitwisselplatform site te downnloaden. Om het script moest ik in Ubuntu 8.10 de volgende stappen doen:
Python 2.5
apt-get install python-fuse
mount_ewf:
tar xzf mount_ewf-20070512.tar.gz
cd mount_ewf-20070512
su
mv mount_ewf.py /sbin/mount.ewf

Doordat je het programma moved met het commando mv naar de map /sbin/ is het script vanaf overal aan te roepen.

Dus ik ga met de in de map van de image staan en dan typ ik het volgende commando python mount.ewf test.E01 /mnt/test/.
Het maakt niet uit welk deel je van de E0* files pakt. Het mount script zorgt automatisch voor dat de gehele image gemount wordt.

Nu kan je naar de map /mnt/test. (cd /mnt/test)

Nu zie je hier een paar tekst bestanden en een groot bestand. Dit is de raw image. Een raw image wil zeggen dat het bitje voor bitje overgekopieerd is van de echte hardeschijf. Deze raw image kan je inladen met veel verschillende onderzoekersprogramma's in Linux. Ik heb het uitgeprobeerd met autopsy en dat werkte perfect.

In de tekst bestandjes staat nog wat overige informatie over de kopie.

Hopelijk nuttige info.

groete