Partindo do pressuposto que a imagem está em uma Pendrive ou HD externo, para montá-la sem copiar a imagem para o HD da estação forense (ou seja, analisando a imagem diretamente no dispositivo USB - pendrive ou HD externo), faça o seguinte:
- Plugue o pendrive (ou o HD externo no seu computador);
- Digite o comando fdisk -l para ver as partições do sitema. (figura1)
- Digite o comando df -h, ou se preferir mount para ver qual sistema de arquivo é a sua pendrive, e em qual diretório ela está montada. Vocês podem ver na imagem que o comando mount mostra que minha pendrive está montada como read-only (ro). (figura2)
Agora eu vou criar o diretório aonde vou montar minha pendrive (acessar os arquivos da minha imagem). Para isso, digite o comando mkdir /mnt/image.
- Depois, para montar a imagem, digite o comando mount -t ntfs-3g -o ro,loop,show_sys_files /dev/sdb1 /mnt/image.
- Se digitamos o comando ls -lh /mnt/image, irá aparecer na tela do shell os arquivos de metadados do windows (isso é possível porque na hora em que a imagem foi montada, nós passamos o parâmetro show_sys_files). Se não passarmos este parâmetro no momento de montar a imagem, não teremos a possibilidade de acessar estes metadados - símbolo $ no início do nome do arquivo). (Figura 3)
Para usar o Sleuthkit na imagem do Windows, pode digitar, por exemplo, o comando fsstat /mnt/image/vista_dd.001 (figura 4)
Para acessar os metadados de volume do Windows (parâmetro show_sys_files), digite o comando strings /mnt/image/\$Boot (figura 5)
Nenhum comentário:
Postar um comentário