EnCase ist ein Anbieter forensischer Analysesoftware. Es gibt eine freie Version der Analysesoftware, mit der man forensische Datensicherungen von Datenträgern erstellen kann. Man kann sie damit aber nicht auswerten, dazu benötigt man kostenpflichtige, teure Software… oder Linux 🙂
Ich paste hier einfach mal meine Notizen. Geht auch schöner aber nicht schneller.
ewftools + fuse müssen installiert sein
E01 Datei als FUSE mounten
(etc/fuse.conf Option user_allow_other auskommentieren/setzen)
ewfmount -X alow_root <E01 Datei> <mountpunkt>
Hiermit wird die Datei im Raw Format gemountet. Es kann noch nicht auf den Inhalt zugegriffen werden
Partitionsinformationen auslesen
fdisk -l <mountpunkt>
Es werden die einzelnen Partitionen, sowie deren Position auf der Festplatte (dem Image) ausgegeben (Start, End).
Die Start und End Werte sind in Sektoren angegeben. Jeder Sektor ist 512 Bytes lang. Die Werte müssen also mit 512 multipliziert werden. Nun können die Partitionen gemountet werden.
Raw Partition mounten
mount -o ro,loop,offset=<START*512>,sizelimit=<END*512>,show_sys_files,streams_interface=windows <raw-image> <neuer mountpunkt>
Festplatte automatisch mounten
Man kann die Festplatte auch automatisch mounten. Dazu ist ein Eintrag in der fstab nötig.
Der sähe dann zum Beispiel so aus:
/dev/hda2 /media/share vfat defaults,umask=022 0 0
Hierbei legt der umask Eintrag die Rechte für die Platte fest. In diesem Fall wäre dies 777-022=755
In Zukunft muss man dann nor noch
mount /share
eingeben, wenn man die Partition mounten will.