[Forensic] Montage d'une image

Introduction

Pour effectuer votre analyse sous Linux, vous aurez besoin d'outils. Vous allez voir comment monter des conteneurs au format E01 (inclus Windows et Linux) et des images faites avec dd.

Manuel

Conteneur EWF (E01)

Tout d'abord, utilisez ewfmount pour monter le disque (installez ewftools au préalable) :

sudo ewfmount 'windows_or_linux_container.E01' /mnt/ewf/

Cette opération aura pour conséquence de monter le disque dans /mnt/ewf, vous pourrez ensuite monter les partitions une à une.

Vous pouvez analyser les partitions avce fdisk et relevez à quel secteur commence votre partition pour calculer l'offset :

sudo fdisk -l /mnt/ewf/ewf1

Utilisez mount en saisissant le secteur de début multiplié par la taille de secteur (souvent 512) :

sudo mount -o ro,norecovery,offset=$((512*239616)) /mnt/ewf/ewf1 /mnt/evidence/

Cette commande aura pour effet de monter la partition dans /mnt/evidence en lecture seule.

Si vous souhaitez utiliser xmount pour définir un fichier de cache :

sudo xmount --in ewf 'windows.E01' --cache cache.cc --out /mnt/evidence/

Si vous souhaitez utiliser xmount pour créer un vmdk (VMware) à partir du conteneur :

sudo xmount --in ewf 'windows.E01' --cache cache.cc --out vmdk /mnt/c/Users/Elie/Documents/VM/

Image DD

Pour monter une image faite avec DD avec une partition de loopback, on peut utiliser losetup :

sudo losetup -f -P '/media/ewf/Alienware.dd'

Pour détacher le périphérique :

sudo losetup -d /dev/loop0